Linux Mint piraté : c’est la faute à WordPress ?

Voilà plus de 24 heures que le site Internet du projet Linux Mint est hors ligne.

À l’origine de cette distribution Linux qui fait partie des plus populaires derrière Ubuntu et Fedora, le Français Clément Lefebvre a pris la décision de couper provisoirement les serveurs après une attaque informatique repérée dans la journée de samedi.

Petit à petit, la situation s’éclaircit, que ce soit concernant les motivations des assaillants, la faille exploitée ou le nombre de victimes potentielles.

En recoupant les témoignages, dont celui du pirate qui s’est confié à ZDNet.com, on constate que l’offensive a eu lieu en plusieurs temps, avec plusieurs cibles.

Les forums communautaires Linux Mint auraient été visés à au moins deux reprises, dont une première fois fin janvier.

Selon le chercheur en sécurité Yonathan Klinjsma, de la firme néerlandaise Fox-IT, les données aspirées à cette occasion ont été mises en vente sur le darkweb, via la marketplace TheRealDeal, par un utilisateur enregistré sous le pseudo peace_of_mind, pour 0,191 bitcoin, soit un peu moins de 100 euros.

Comme le note Softpedia, quelqu’un en a acheté une copie et l’a postée en intégralité sur les forums Hacker News. Ce qui a permis d’en vérifier l’authenticité.

WordPress au rapport

Au-delà des forums, c’est le domaine linuxmint.com qui a été ciblé.

Le pirate – vraisemblablement seul à agir – a exploité une faille dans le CMS WordPress, sur lequel est construit le site. Il a plus précisément implanté une porte dérobée dans le dossier associé à un thème récemment installé… et que les administrateurs Linux Mint n’avaient peut-être, selon Clément Lefebvre, totalement configuré au niveau des permissions d’accès.

Cette backdoor lui a permis de prendre le contrôle de la page de téléchargement des images disque de Linux Mint. Il a modifié les liens pour les faire pointer vers un serveur FTP situé en Bulgarie (5.104.175.212) et hébergeant des ISO infectées de Linux Mint 17.3 Cinnamon (seule l’édition 64 bits semble avoir été effectivement diffusée).

Difficile, au premier abord, de repérer la supercherie. Non seulement parce que le pirate a pris soin de modifier les empreintes MD5 renseignées sur la page de téléchargement pour les faire correspondre à ses ISO malveillantes, mais aussi parce qu’il n’a ajouté, en tout et pour tout, qu’un fichier : man.cy, dans le répertoire /var/lib/man.

Ce fichier contient le code d’une porte dérobée basée sur la fonction Tsunami. Laquelle se fait passer pour apt-cache et ouvre un canal de communication IRC par lequel elle peut recevoir des commandes distantes, généralement dans le cadre d’attaques DDoS.

Le pirate explique que sa motivation première était de créer un botnet. Sans toutefois exclure d’autres usages. En l’état actuel, il contrôlerait encore « quelques centaines » d’installations de Linux Mint.

Averti le 20 février, Clément Lefebvre était intervenu une première fois pour corriger le tir. Une deuxième attaque l’a convaincu de fermer temporairement les écoutilles. Le pirate est même allé jusqu’à saturer son adresse IP pour l’empêcher de mettre le site hors ligne.

Crédit photo : wk1003mike – Shutterstock.com