لا يحتاج الخصم إلى مهارات تقنية معقدة لتنفيذ هجوم واسع النطاق على سلسلة توريد البرامج مثل تلك التي تعرضت لها SolarWinds وCodeCov. في بعض الأحيان، كل ما يتطلبه الأمر هو القليل من الوقت والهندسة الاجتماعية العبقرية.
يبدو أن هذا هو الحال مع من أدخل بابًا خلفيًا في XZ Utils أداة ضغط البيانات مفتوحة المصدر في أنظمة Linux في وقت سابق من هذا العام. تحليل الحادثة من كاسبيرسكي هذا الأسبوع، وتقارير مماثلة من آخرين في الأيام الأخيرة، حددت المهاجم على أنه يعتمد بشكل شبه كامل على التلاعب الاجتماعي تنزلق من الباب الخلفي في الأداة المساعدة.
الهندسة الاجتماعية سلسلة توريد البرمجيات مفتوحة المصدر
ومن المشؤوم أنه قد يكون نموذجًا يستخدمه المهاجمون لإدخال برامج ضارة مماثلة إلى مشاريع ومكونات أخرى مفتوحة المصدر مستخدمة على نطاق واسع.
في تنبيه الأسبوع الماضي، حذرت مؤسسة الأمن مفتوح المصدر (OSSF) من أن هجوم XZ Utils من المحتمل ألا يكون حادثًا معزولًا. حددت الاستشارة حالة أخرى واحدة على الأقل حيث استخدم الخصم تكتيكات مشابهة لتلك المستخدمة في XZ Utils لتولي مؤسسة OpenJS لمشاريع JavaScript.
قال تنبيه OSSF: "تدعو مؤسستا OSSF وOpenJS جميع القائمين على صيانة المصادر المفتوحة إلى الانتباه لمحاولات الاستيلاء على الهندسة الاجتماعية، والتعرف على أنماط التهديد المبكرة الناشئة، واتخاذ خطوات لحماية مشاريعهم مفتوحة المصدر".
اكتشف مطور من Microsoft الباب الخلفي في الإصدارات الأحدث من مكتبة XZ تسمى liblzma أثناء التحقيق في السلوك الغريب حول تثبيت دبيان. في ذلك الوقت، كانت الإصدارات غير المستقرة والتجريبية من إصدارات Fedora وDebian وKali وopenSUSE وArch Linux هي الوحيدة التي كانت تحتوي على مكتبة ذات أبواب خلفية، مما يعني أنها لم تكن مشكلة تقريبًا بالنسبة لمعظم مستخدمي Linux.
وقال كاسبرسكي إن الطريقة التي أدخل بها المهاجم الباب الخلفي مثيرة للقلق بشكل خاص. وقالت كاسبرسكي: "كان أحد الفروق الرئيسية بين حادثة SolarWinds والهجمات السابقة على سلسلة التوريد هو الوصول السري والمطول للخصم إلى بيئة المصدر/التطوير". "في حادثة XZ Utils هذه، تم الحصول على هذا الوصول المطول عبر الهندسة الاجتماعية وتم توسيعه من خلال تفاعلات الهوية البشرية الوهمية على مرأى من الجميع."
هجوم منخفض وبطيء
يبدو أن الهجوم قد بدأ في أكتوبر 2021، عندما أرسل شخص يستخدم المقبض "Jia Tan" رقعة غير ضارة إلى مشروع XZ Utils المكون من شخص واحد. على مدى الأسابيع والأشهر القليلة التالية، أرسل حساب جيا تان العديد من التصحيحات غير الضارة المماثلة (الموصوفة بالتفصيل في هذا الجدول الزمني) إلى مشروع XZ Utils، والذي بدأ المشرف الوحيد عليه، وهو فرد يُدعى Lasse Collins، في النهاية في دمجه في الأداة المساعدة.
بدءًا من أبريل 2022، بدأ شخصان آخران - أحدهما يستخدم المقبض "Jigar Kumar" والآخر "Dennis Ens" - في إرسال رسائل بريد إلكتروني إلى كولينز، والضغط عليه لدمج تصحيحات Tan في XZ Utils بوتيرة أسرع.
قامت شخصيتا جيجار كومار ودينيس إنس بتصعيد الضغط تدريجيًا على كولينز، وطلبا منه في النهاية إضافة مشرف آخر إلى المشروع. وفي مرحلة ما، أكد كولينز مجددًا اهتمامه بالحفاظ على المشروع، لكنه اعترف بأنه مقيد بـ "قضايا الصحة العقلية طويلة المدى". في النهاية، استسلم كولينز لضغوط كومار وإنس ومنح جيا تان حق الوصول إلى المشروع وسلطة إجراء تغييرات على الكود.
وقال كاسبرسكي: "كان هدفهم هو منح الوصول الكامل إلى كود مصدر XZ Utils إلى Jia Tan وإدخال تعليمات برمجية ضارة بمهارة إلى XZ Utils". "حتى أن الهويات تتفاعل مع بعضها البعض في سلاسل البريد، وتشكو من الحاجة إلى استبدال Lasse Collin كمشرف على XZ Utils." يبدو أن الأشخاص المختلفين في الهجوم - جيا تان، وجيجار كومار، ودينيس إنس - قد تم جعلهم يبدون عمدًا وكأنهم من مناطق جغرافية مختلفة، لتبديد أي شكوك حول عملهم بشكل متناغم. ظهر فرد أو شخصية أخرى، هو Hans Jansen، لفترة وجيزة في يونيو 2023 مع بعض التعليمات البرمجية الجديدة لتحسين الأداء لـ XZ Utils والتي انتهى الأمر بدمجها في الأداة المساعدة.
نخبة واسعة من الممثلين
أدخل جيا تان ثنائي الباب الخلفي إلى الأداة المساعدة في فبراير 2024 بعد السيطرة على مهام صيانة XZ Util. بعد ذلك، عادت شخصية Jansen إلى الظهور – إلى جانب شخصيتين أخريين – يضغط كل منهما على موزعي Linux الرئيسيين لإدخال الأداة المساعدة ذات الباب الخلفي في توزيعهم، حسبما قال كاسبرسكي.
ما ليس واضحًا تمامًا هو ما إذا كان الهجوم قد شارك فيه فريق صغير من الممثلين أو فرد واحد نجح في إدارة العديد منهم الهويات والتلاعب بالمشرف لمنحهم الحق في إجراء تغييرات على التعليمات البرمجية للمشروع.
يقول كيرت بومغارتنر، الباحث الرئيسي في فريق البحث والتحليل العالمي في Kaspersky، لموقع Dark Reading، إن مصادر البيانات الإضافية، بما في ذلك بيانات تسجيل الدخول وبيانات تدفق الشبكة، يمكن أن تساعد في التحقيق في الهويات المشاركة في الهجوم. ويقول: "إن عالم المصادر المفتوحة هو عالم مفتوح إلى حد كبير، مما يمكّن الهويات الغامضة من المساهمة برموز برمجية مشكوك فيها في المشاريع التي تعتبر تبعيات رئيسية".
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/application-security/attacker-social-engineered-backdoor-code-into-xz-utils
