Das Betriebssystem Linux Mint ist Windows sehr ähnlich und spricht daher vor allem Umsteiger an.

Linux Mint ist nutzerfreundlich und die Oberfläche ist an Windows angelehnt. Das macht es vor allem für Umsteiger interessant. Linux Mint gehört zu den beliebtesten Distributionen, die auf dem freien Betriebssystem basieren. Aber wo viele Nutzer sind, da sind Kriminelle nicht weit. Das gilt auch für Linux.

Am Samstag haben Hacker die offizielle Website der Linux-Distribution manipuliert und einen Download-Link geändert. Statt der normalen ISO-Datei haben die Nutzer eine modifizierte Version von Linux Mint erhalten, die eine Hintertür für die Kriminellen beinhaltet.

Hintertür namens Tsunami

In einem Blogpost warnt Projektleiter Clement Lefebvre vor der manipulierten Version. Betroffen seien Nutzer, die die Cinnamon-Edition von Linux Mint 17.3 am Samstag über die offizielle Website heruntergeladen haben. Andere Versionen und Download-Wege seien nicht betroffen. Die Website ging nach dem Bekanntwerden der Manipulation am Sonntag offline.

Die manipulierte Version wurde mit einer Hintertür namens Tsunami ausgestattet. Die Linux-Malware ist schon länger bekannt und macht den betroffenen Rechner zum Teil eines Botnetzes. Über das Chat-System IRC (Internet Relay Chat) können die Kriminellen auf die infizierten Systeme zugreifen. So kann der befallene Rechner beispielsweise dafür genutzt werden, um eine Distributed-Denial-of-Service-Attacke (DDoS) auszuführen, bei der Websites oder Server mit Anfragen überlastet werden und zusammenbrechen.

Wordpress war die Schwachstelle

Die Angreifer konnten offenbar über eine Schwachstelle im Content-Management-System Wordpress den Download-Link ändern. Wie genau ist noch unklar. Lefebvre weist darauf hin, dass nur die Website von Linux Mint betroffen ist und es sich nicht um ein Problem von Wordpress allgemein handelt.

Er empfiehlt Nutzern, die infizierte ISO-Datei zu löschen, DVDs mit der Linux-Distribution zu zerstören und USB-Sticks zu formatieren. Sollte die ISO bereits installiert sein, sollen Betroffene den Rechner offline nehmen und ein Backup der persönlichen Daten erstellen. Anschließend sollen sie das Betriebssystem neu installieren oder die Partition formatieren sowie sämtliche Passwörter ändern.

85 Dollar für die Datenbank

Aber die Angreifer konnten nicht nur die Download-Seite des Linux-Projekts infiltrieren. Auch das zugehörige Forum sei betroffen, wie Lefebvre in einem weiteren Blogpost schreibt. Die Hacker konnten demnach eine Kopie der Datenbank des Forums erstellen, die beispielsweise den Benutzernamen, die E-Mail-Adresse und das verschlüsselte Passwort enthält. Im Darknet wurde die Datenbank am Sonntag für 0,1949 Bitcoin angeboten, das entspricht etwa 85 Dollar.

Der Journalist Zack Whittaker konnte für das IT-Portal ZDNet mit einem der angeblichen Hacker sprechen, der sich Peace nennt. Er soll alleine gearbeitet und einige Hundert Linux-Mint-Systeme unter seiner Kontrolle haben. Der angebliche Kriminelle behauptet auch, einige der kopierten Foren-Passwörter seien bereits entschlüsselt worden. Nachprüfen lassen sich diese Angaben allerdings nicht.