Le malware Kaiten dans des distributions Linux Mint officielles

Les utilisateurs qui ont téléchargé la nouvelle version de la distribution Linux Mint (Cinnamon 17.3) ce samedi 20 février 2016 ont eu la mauvaise surprise de découvrir un malware dans l’ISO officiel.

Dans une note de blog, le responsable du projet Clément Lefebvre confirme que le site officiel de Linux Mint a été piraté, et que les ISO (images disques nécessaires à l’installation de la distribution) ont été remplacés par des versions vérolées contenant un malware.

Comment agit le malware ?

Les versions corrompues de Linux Mint contiennent un bot IRC baptisé Kaiten, écrit en C, dont le code a été diffusé sur Pastebin. Les antivirus le détectent généralement en tant que Linux/Tsunami ou Trojan.Tsunami.

Tout d’abord, le bot tente de se rendre persistant en ajoutant une ligne afin de se lancer au démarrage dans :

/etc/rc.d/rc.local

ou :

/etc/rc.local

Il modifie ensuite son nom de processus en écrasant la variable argv[0] par la chaîne de caractères « apt-cache ». Cela permet au programme d’apparaître sous un nom moins suspicieux si un utilisateur lance un utilitaire comme ps, destiné à afficher la liste des programmes en cours de fonctionnement.

Enfin, il va rejoindre l’un des serveurs IRC mis en place par le pirate pour l’occasion, installés sur des noms de domaines qui pourraient berner les utilisateurs les moins expérimentés, en croyant à de simples mises à jour :

updates.absentvodka.com
updates.mintylinux.com
eggstrawdinarry.mylittlerepo.com
linuxmint.kernel-org.org

Une fois connecté, il rejoint un channel privé protégé par un mot de passe. À partir de là, le botmaster peut envoyer des commandes à tous les systèmes infectés.

Mon système est-il infecté ?

Si vous avez téléchargé Linux Mint Cinnamon 17.3, vérifiez que votre version n’est pas vérolée avec la commande md5sum :

md5sum votre-fichier.iso

Voici les signatures MD5 des ISO valides :

6e7f7e03500747c6c3bfece2c9c8394f  linuxmint-17.3-cinnamon-32bit.iso
e71a2aad8b58605e906dbea444dc4983  linuxmint-17.3-cinnamon-64bit.iso
30fef1aa1134c5f3778c77c4417f7238  linuxmint-17.3-cinnamon-nocodecs-32bit.iso
3406350a87c201cdca0927b1bc7c2ccd  linuxmint-17.3-cinnamon-nocodecs-64bit.iso
df38af96e99726bb0a1ef3e5cd47563d  linuxmint-17.3-cinnamon-oem-64bit.iso

Si vous n’avez plus l’ISO, lancez votre système – sans connexion Internet – et vérifiez s’il existe le fichier man.cy dans /var/lib. La présence de ce fichier indique que vous avez installé une version vérolée de Mint.

Comment le piratage du site a-t-il été possible ?

Selon Zdnet, le remplacement de l’ISO officiel sur linuxmint.com aurait été effectué via une vulnérabilité sur le site qui a par ailleurs permis la fuite de 71 000 comptes du forum associé.

Le pirate, qui répond au nom de Peace, aurait commencé par remplacer uniquement l’ISO de la version 64 bits de Mint en implémentant le malware, puis ceux des autres versions par la suite.

Ayant accès au site, le pirate a également modifié les signatures MD5 pour les faire correspondre aux versions vérolées. Les ISO ont ainsi été diffusés pendant environ une heure – c’est-à-dire jusqu’à ce que Lefebvre s’aperçoive du piratage et mette le site hors ligne.

Selon DistroWatch.com, Mint serait la distribution Linux la plus populaire, devant respectivement Debian et Ubuntu. Pour l’heure, le site du projet est toujours inaccessible.

Suggestions