SolarWinds এবং CodeCov-এর মতো বিস্তৃত সফ্টওয়্যার সরবরাহ চেইন আক্রমণ চালানোর জন্য প্রতিপক্ষের পরিশীলিত প্রযুক্তিগত দক্ষতার প্রয়োজন নেই। কখনও কখনও, এটি লাগে একটু সময় এবং মেধাবী সামাজিক প্রকৌশল।
যে কেউ একটি ব্যাকডোর প্রবর্তন ক্ষেত্রে হয়েছে বলে মনে হচ্ছে XZ Utils ওপেন সোর্স ডেটা কম্প্রেশন ইউটিলিটি এই বছরের শুরুতে লিনাক্স সিস্টেমে। ঘটনার বিশ্লেষণ এই সপ্তাহে ক্যাসপারস্কি থেকে, এবং সাম্প্রতিক দিনগুলিতে অন্যদের থেকে অনুরূপ রিপোর্ট, আক্রমণকারীকে প্রায় সম্পূর্ণরূপে সামাজিক কারসাজির উপর নির্ভরশীল হিসাবে চিহ্নিত করেছে পিছনের দরজা স্লিপ ইউটিলিটি মধ্যে
সোশ্যাল ইঞ্জিনিয়ারিং ওপেন সোর্স সফটওয়্যার সাপ্লাই চেইন
দুর্ভাগ্যজনকভাবে, এটি এমন একটি মডেল হতে পারে যা আক্রমণকারীরা অন্যান্য ব্যাপকভাবে ব্যবহৃত ওপেন সোর্স প্রকল্প এবং উপাদানগুলিতে অনুরূপ ম্যালওয়্যার স্লিপ করতে ব্যবহার করছে।
গত সপ্তাহে একটি সতর্কতায়, ওপেন সোর্স সিকিউরিটি ফাউন্ডেশন (ওএসএসএফ) XZ ইউটিলস আক্রমণের বিষয়ে সতর্ক করেছে সম্ভবত একটি বিচ্ছিন্ন ঘটনা নয়। উপদেষ্টা অন্তত একটি অন্য উদাহরণ চিহ্নিত যেখানে একটি XZ Utils-এ ব্যবহৃত কৌশলের অনুরূপ প্রতিপক্ষ নিযুক্ত কৌশল ওপেনজেএস ফাউন্ডেশন ফর জাভাস্ক্রিপ্ট প্রকল্প গ্রহণ করতে।
"ওএসএসএফ এবং ওপেনজেএস ফাউন্ডেশনগুলি সমস্ত ওপেন সোর্স রক্ষণাবেক্ষণকারীকে সোশ্যাল ইঞ্জিনিয়ারিং টেকওভারের প্রচেষ্টার জন্য সতর্ক হতে, উদ্ভূত প্রাথমিক হুমকির ধরণগুলিকে চিনতে এবং তাদের ওপেন সোর্স প্রকল্পগুলিকে রক্ষা করার জন্য পদক্ষেপ নেওয়ার জন্য আহ্বান জানিয়েছে," ওএসএসএফ সতর্কতা বলেছে৷
মাইক্রোসফ্টের একজন বিকাশকারী ডেবিয়ান ইনস্টলেশনের চারপাশে অদ্ভুত আচরণের তদন্ত করার সময় liblzma নামক একটি XZ লাইব্রেরির নতুন সংস্করণে ব্যাকডোর আবিষ্কার করেছেন। সেই সময়ে, ফেডোরা, ডেবিয়ান, কালি, ওপেনসুস, এবং আর্চ লিনাক্স সংস্করণগুলির শুধুমাত্র অস্থির এবং বিটা রিলিজগুলিতে ব্যাকডোরযুক্ত লাইব্রেরি ছিল, যার অর্থ এটি বেশিরভাগ লিনাক্স ব্যবহারকারীদের জন্য কার্যত একটি অ-ইস্যু ছিল।
তবে আক্রমণকারী যেভাবে পিছনের দরজাটি চালু করেছিল তা বিশেষভাবে উদ্বেগজনক, ক্যাসপারক্সি বলেছেন। "পূর্বের সরবরাহ শৃঙ্খল আক্রমণ থেকে SolarWinds ঘটনার মূল পার্থক্যকারীগুলির মধ্যে একটি ছিল প্রতিপক্ষের গোপন, উত্স/উন্নয়ন পরিবেশে দীর্ঘায়িত অ্যাক্সেস," ক্যাসপারস্কি বলেছেন। "এই XZ Utils ঘটনায়, এই দীর্ঘায়িত অ্যাক্সেসটি সোশ্যাল ইঞ্জিনিয়ারিংয়ের মাধ্যমে প্রাপ্ত হয়েছিল এবং সাধারণ দৃষ্টিতে কাল্পনিক মানব পরিচয় মিথস্ক্রিয়াগুলির সাথে প্রসারিত হয়েছিল।"
একটি নিম্ন এবং ধীর আক্রমণ
আক্রমণটি 2021 সালের অক্টোবরে শুরু হয়েছিল বলে মনে হচ্ছে, যখন একজন ব্যক্তি "জিয়া ট্যান" হ্যান্ডেল ব্যবহার করে একক-ব্যক্তি XZ ইউটিলস প্রকল্পে একটি নিরীহ প্যাচ জমা দিয়েছেন। পরবর্তী কয়েক সপ্তাহ এবং মাসগুলিতে, জিয়া ট্যান অ্যাকাউন্ট একাধিক অনুরূপ ক্ষতিকারক প্যাচ জমা দিয়েছে (এতে বিশদভাবে বর্ণনা করা হয়েছে টাইমলাইনে) XZ Utils প্রকল্পে, যার একমাত্র রক্ষণাবেক্ষণকারী, Lasse Collins নামে একজন ব্যক্তি, অবশেষে ইউটিলিটিতে একত্রিত হতে শুরু করে।
এপ্রিল 2022 থেকে শুরু করে, আরও কয়েকজন ব্যক্তি - একটি হ্যান্ডেল "জিগার কুমার" এবং অন্যটি "ডেনিস এনস" ব্যবহার করে - কলিন্সকে ইমেল পাঠাতে শুরু করে, তাকে চাপ দিয়ে টানের প্যাচগুলিকে দ্রুত গতিতে XZ Utils-এ একীভূত করতে।
জিগার কুমার এবং ডেনিস এনস ব্যক্তিরা ধীরে ধীরে কলিন্সের উপর চাপ বাড়ায়, অবশেষে তাকে এই প্রকল্পে অন্য একজন রক্ষণাবেক্ষণকারী যোগ করতে বলে। কলিন্স এক পর্যায়ে প্রকল্প রক্ষণাবেক্ষণে তার আগ্রহের পুনর্ব্যক্ত করেছিলেন কিন্তু "দীর্ঘমেয়াদী মানসিক স্বাস্থ্য সমস্যা" দ্বারা সীমাবদ্ধ থাকার কথা স্বীকার করেছিলেন। অবশেষে, কলিন্স কুমার এবং এনসের চাপের কাছে নতি স্বীকার করেন এবং জিয়া তানকে প্রকল্পে প্রবেশাধিকার এবং কোডে পরিবর্তন করার ক্ষমতা দেন।
"তাদের লক্ষ্য ছিল XZ Utils সোর্স কোডে জিয়া তানকে সম্পূর্ণ অ্যাক্সেস দেওয়া এবং XZ Utils-এ দূষিত কোডটি সূক্ষ্মভাবে প্রবর্তন করা," ক্যাসপারস্কি বলেছেন। "পরিচয়গুলি এমনকি মেল থ্রেডগুলিতে একে অপরের সাথে যোগাযোগ করে, XZ Utils রক্ষণাবেক্ষণকারী হিসাবে Lasse Collin কে প্রতিস্থাপন করার প্রয়োজনীয়তার বিষয়ে অভিযোগ করে।" আক্রমণের বিভিন্ন ব্যক্তিত্ব — জিয়া তান, জিগার কুমার, এবং ডেনিস এনস — ইচ্ছাকৃতভাবে এমনভাবে তৈরি করা হয়েছে যেন তারা বিভিন্ন ভৌগলিক থেকে এসেছেন, যাতে তাদের কনসার্টে কাজ করা নিয়ে কোনো সন্দেহ দূর হয়। আরেকটি ব্যক্তি, বা ব্যক্তিত্ব, হ্যান্স জ্যানসেন, XZ ইউটিলগুলির জন্য কিছু নতুন পারফরম্যান্স অপ্টিমাইজেশান কোড সহ 2023 সালের জুনে সংক্ষিপ্তভাবে উপস্থিত হয়েছিল যা ইউটিলিটিতে একত্রিত হয়ে শেষ হয়েছে।
অভিনেতাদের একটি বিস্তৃত কাস্ট
XZ ইউটিল রক্ষণাবেক্ষণ কার্যগুলির নিয়ন্ত্রণ পাওয়ার পর জিয়া ট্যান ফেব্রুয়ারি 2024 সালে ইউটিলিটিতে ব্যাকডোর বাইনারি প্রবর্তন করেছিলেন। এর পরে, জ্যানসেন চরিত্রটি পুনরুত্থিত হয়েছে - অন্য দুটি ব্যক্তিত্বের সাথে - প্রতিটি প্রধান লিনাক্স ডিস্ট্রিবিউটরদের তাদের বিতরণে ব্যাকডোর ইউটিলিটি চালু করার জন্য চাপ দিচ্ছে, ক্যাসপারক্সি বলেছেন।
যেটি সম্পূর্ণরূপে পরিষ্কার নয় তা হল এই হামলায় অভিনেতাদের একটি ছোট দল বা একক ব্যক্তি জড়িত যারা সফলভাবে বেশ কয়েকটি পরিচালনা করেছে পরিচয় এবং রক্ষণাবেক্ষণকারীকে তাদের প্রকল্পে কোড পরিবর্তন করার অধিকার দেওয়ার জন্য ম্যানিপুলেট করেছে।
ক্যাসপারস্কির গ্লোবাল রিসার্চ অ্যান্ড অ্যানালাইসিস টিমের প্রধান গবেষক কার্ট বামগার্টনার ডার্ক রিডিংকে বলেছেন যে লগইন এবং নেটফ্লো ডেটা সহ অতিরিক্ত ডেটা উত্সগুলি আক্রমণের সাথে জড়িত পরিচয়গুলির তদন্তে সহায়তা করতে পারে৷ তিনি বলেন, "ওপেন সোর্সের জগৎটি খুবই উন্মুক্ত," তিনি বলেন, "প্রধান নির্ভরতা প্রকল্পগুলিতে সন্দেহজনক কোড অবদান রাখতে অস্পষ্ট পরিচয়গুলিকে সক্ষম করে।"
- এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
- PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
- প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
- প্লেটোইএসজি। কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
- প্লেটো হেলথ। বায়োটেক এবং ক্লিনিক্যাল ট্রায়াল ইন্টেলিজেন্স। এখানে প্রবেশ করুন.
- উত্স: https://www.darkreading.com/application-security/attacker-social-engineered-backdoor-code-into-xz-utils
