Złośliwy Acrobat nastraszył użytkowników Archa. Tak się robi malware na Linuksie
Użytkownicy wolnych systemów operacyjnych żyją najczęściej wbłogim poczuciu bezpieczeństwa, przekonani że malware to coś, cozdarza się tylko w świecie komercyjnego oprogramowania, pełnegoluk i instalowanych z wątpliwych źródeł pirackich kopii. Tymwiększy niepokój w w linuksowym światku wywołało odkryciezłośliwego oprogramowania w repozytoriach Arch Linuksa,wykorzystywanych też przez takie dystrybucje jak Manjaro czyAntergos. I to co najgorsze, złośliwego oprogramowania w całkiempopularnym pakiecie, zawierającym czytnik PDF Acrobat Reader.
AUR (Arch User Repository) to jedna z największych zalet ArchLinuksa i innych bazujących na nim dystrybucji. Jest to katalogskryptów instalacyjnych, pozwalających łatwo zainstalowaćpraktycznie dowolne oprogramowanie dostępne na Linuksa, w tym takżeoprogramowanie własnościowe, którego w oficjalnych repozytoriachnie znajdziemy. Takie skrypty instalacyjne tworzone są przez samychużytkowników i przez nich rozwijane. Zawierają niezbędne dlainstalacji dane, potrafią sterować kompilacją ze źródeł,oczywiście też proszą o uprawnienia roota.
Wśród ponad 47 tysięcy skryptów instalacyjnych dostępnych wAUR od lat znajduje się skrypt instalacyjny acroread.Służy on instalowaniu porzuconego przez Adobe linuksowego wydaniaczytnika PDF-ów Acrobat Reader. Ostatnia jego wersja 9.5.5 ma jużponad 5 lat i szczerze mówiąc, jest to bardzo miernej jakościnarzędzie. Niestety jednak dla wielu użytkowników niezbędne,szczególnie w Polsce – bez pakietu acroread możemy zapomnieć owypełnieniu zeznania podatkowego za pomocą pakietu e-deklaracje.Nic więc dziwnego, że pakiet acroread był wysoko w AUR oceniany, wpopularności dorównując takim pakietom jak Firefox ESR, środowiskouruchamiania aplikacji windowsowych CrossOver czy portfelkryptowaluty Monero.
Acroread był jednak pakietem od lat już porzuconym inierozwijanym, coraz gorzej budującym się na współczesnychwersjach Archa. Porzucone pakiety każdy może zaś przejąć izadbać o ich działanie. Zdecydowano się na to aby uniknąćsytuacji, w której AUR stanie się pełen zapomnianych iniedziałających już pakietów. Nikt chyba wówczas nie myślał,jakie to niesie ze sobą zagrożenie.
W ostatnią sobotę ktoś używający nicka xeactor przejąłpakiet acroread i zmieniłjego skrypt instalacyjny. Dodał do niego polecenie pobrania zserwisu ptpb.pw pliku o nazwie ~xi jego uruchomienia – oczywiście z uprawnieniami administratoranadanymi przez użytkownika.
Uruchomiony instalacją acroreada plik ~x modyfikował ustawieniasystemowego demona systemd, pobierał i uruchamial kolejny plik onazwie ~u,oraz ustawiał systemowy timer, mający aktywować ~u co sześćminut.
Samo ~u było po prostu skryptem szpiegowskim. Gromadziłoinformacje o zakażonym systemie, przesyłając je na konto serwisuPastebin kontrolowane przez napastnika. Były tam identyfikator, daneo procesorze, lista zainstalowanych pakietów, modułów systemd iwersja linuksowego kernela. Tak jakby napastnik zbierał informacjepotrzebne mu do jakiejś przyszłej akcji.
Na szczęście opiekunowie Arch User Repository zauważyli, co siędzieje. Konto xeactora zostało zawieszone, wprowadzone przez niegozmiany cofnięte. Przy okazji odkryto też, że w podobny sposóbnapastnik przejął i uzłośliwił pakiety balz (wydajny kompresorplików) oraz minergate – koparkę kryptowalut z oprogramowaniem doprowadzenia kopalni.
To nie pierwszy przypadek, kiedy złośliwe oprogramowanie trafiado repozytoriów linuksowego oprogramowania. W maju tego roku wUbuntu Store, repozytorium paczek w formacie snap pojawiła się gralogiczna 2048, zawierająca ukrytą koparkę kryptowalut. Drugi takiwypadek powinien być sygnałem alarmowym dla linuksowejspołeczności. Tym razem nikomu nic się nie stało, ale trzebabędzie się zastanowić nad uszczelnieniem mechanizmów instalacjioprogramowania spoza ścisłych repozytoriów dystrybucji – by wprzyszłości nikomu się nic nie stało. Rady w rodzaju „było niekorzystać z AUR-a” czy „tylko CentOS” nie są szczególniepomocne – sukces Arch Linuksa wziął się właśnie z tej ogromnejdostępności przeróżnego oprogramowania, którego w oficjalnychrepozytoriach innych dystrybucji ze świecą szukać.
