Разбор инцидента показал, что доступ к сайту был получен путём атаки на уязвимый компонент для платформы WordPress, за сопровождение которого отвечала компания Canonical. После получения доступа атакующие смогли внедрить в платформу свой код, изменивший ссылки на странице загрузки, и разместивший файл «https://xubuntu.org/wp-content/Xubuntu-Safe-Download.zip».
Первые сообщения о компрометации датированы 15 октября. Отмечается, что команды Canonical, отвечающие за поддержание инфраструктуры, были уведомлены вскоре после получения жалоб, после чего незамедлительно начали расследование и отключили страницу загрузки (примечание: несмотря на заявление о том, что работа по разбору инцидента началась почти сразу, фактически вредоносный файл оставался на странице загрузки до вечера 19 октября).
11 ноября компания Canonical предоставила разработчикам Xubuntu отчёт с подтверждением устранения уязвимости, внесения изменений для усиления защиты и возобновления работы страницы загрузки в режиме только для чтения. Для предотвращения похожих инцидентов в будущем решено заменить систему управления контентом WordPress на статический генератор сайтов Hugo, при использовании которого на сайте размещается только статический контент.
Утверждается, что атака ограничилась только заменой ссылки на web-сайте Xubuntu.org и не коснулась других элементов инфраструктуры. В частности, атака не затронула сборочную систему, сервис cdimages.ubuntu.com, зеркала, репозитории пакетов и другие элементы разработки Xubuntu. Пользователям, загрузившим архив Xubuntu-Safe-Download.zip и запустившим присутствовавший внутри exe-файл, следует считать свои системы скомпрометированными и воспользоваться антивирусным ПО для чистки системы от вредоносного ПО.
Источник: http://www.opennet.ru/opennews/art.shtml?num=64287