En modstander har ikke brug for sofistikerede tekniske færdigheder for at udføre et bredt softwareforsyningskædeangreb som dem, SolarWinds og CodeCov oplever. Nogle gange er alt, hvad der skal til, lidt tid og genial social engineering.
Det ser ud til at have været tilfældet med den, der introducerede en bagdør i XZ bruger open source-datakomprimeringsværktøj i Linux-systemer tidligere i år. Analyse af hændelsen fra Kaspersky i denne uge, og lignende rapporter fra andre i de seneste dage, identificerede angriberen som værende næsten udelukkende afhængig af social manipulation til smide bagdøren ind i forsyningen.
Social Engineering, Open Source Software Supply Chain
Ildevarslende kan det være en model, som angribere bruger til at glide lignende malware ind i andre udbredte open source-projekter og -komponenter.
I en advarsel i sidste uge advarede Open Source Security Foundation (OSSF) om, at XZ Utils-angrebet sandsynligvis ikke er en isoleret hændelse. Den rådgivende identificerede mindst ét andet tilfælde, hvor en modstanderen brugte taktik svarende til den, der blev brugt på XZ Utils at overtage OpenJS Foundation for JavaScript-projekter.
"OSSF og OpenJS Foundations opfordrer alle open source-vedligeholdere til at være opmærksomme på forsøg på overtagelse af social ingeniørkunst, for at genkende de tidlige trusselsmønstre, der opstår, og til at tage skridt til at beskytte deres open source-projekter," sagde OSSF-alarmen.
En udvikler fra Microsoft opdagede bagdøren i nyere versioner af et XZ-bibliotek kaldet liblzma, mens han undersøgte mærkelig adfærd omkring en Debian-installation. På det tidspunkt var det kun ustabile og beta-udgivelser af Fedora, Debian, Kali, openSUSE og Arch Linux-versioner, der havde bagdørsbiblioteket, hvilket betyder, at det praktisk talt var et ikke-problem for de fleste Linux-brugere.
Men måden, hvorpå angriberen introducerede bagdøren, er især bekymrende, sagde Kasperksy. "En af de vigtigste kendetegn ved SolarWinds-hændelsen fra tidligere forsyningskædeangreb var modstanderens hemmelige, langvarige adgang til kilde-/udviklingsmiljøet," sagde Kaspersky. "I denne XZ Utils-hændelse blev denne forlængede adgang opnået via social engineering og udvidet med fiktive menneskelige identitetsinteraktioner i almindeligt syn."
Et lavt og langsomt angreb
Angrebet ser ud til at være begyndt i oktober 2021, da en person, der brugte håndtaget "Jia Tan", indsendte et uskadeligt plaster til single-person XZ Utils-projektet. I løbet af de næste par uger og måneder indsendte Jia Tan-kontoen flere lignende harmløse patches (beskrevet i detaljer i denne tidslinje) til XZ Utils-projektet, som dets eneste vedligeholder, en person ved navn Lasse Collins, til sidst begyndte at fusionere i værktøjet.
Fra april 2022 begyndte et par andre personaer - den ene ved hjælp af håndtaget "Jigar Kumar" og den anden "Dennis Ens" - at sende e-mails til Collins, der pressede ham til at integrere Tans patches i XZ Utils i et hurtigere tempo.
Jigar Kumar og Dennis Ens personaer øgede gradvist presset på Collins og bad ham til sidst om at tilføje en anden vedligeholder til projektet. Collins bekræftede på et tidspunkt sin interesse i at opretholde projektet, men indrømmede at være begrænset af "langsigtede psykiske problemer." Til sidst bukkede Collins under for presset fra Kumar og Ens og gav Jia Tan commit adgang til projektet og autoritet til at foretage ændringer i koden.
"Deres mål var at give fuld adgang til XZ Utils kildekode til Jia Tan og subtilt introducere ondsindet kode i XZ Utils," sagde Kaspersky. "Identiteterne interagerer endda med hinanden på mail-tråde og klager over behovet for at erstatte Lasse Collin som XZ Utils-vedligeholder." De forskellige personer i angrebet - Jia Tan, Jigar Kumar og Dennis Ens - ser ud til bevidst at være blevet lavet til at se ud, som om de kom fra forskellige geografier, for at fjerne enhver tvivl om deres arbejde sammen. En anden person, eller persona, Hans Jansen, dukkede kort op i juni 2023 med en ny præstationsoptimeringskode til XZ Utils, der endte med at blive integreret i værktøjet.
En bred skare af skuespillere
Jia Tan introducerede bagdør-binæren i værktøjet i februar 2024 efter at have fået kontrol over XZ Util-vedligeholdelsesopgaverne. Efter det dukkede Jansen-karakteren op igen - sammen med to andre personaer - og pressede hver især store Linux-distributører til at introducere bagdørsværktøjet i deres distribution, sagde Kasperksy.
Hvad der ikke er helt klart er, om angrebet involverede et lille hold af skuespillere eller en enkelt person, der med succes styrede flere identiteter og manipulerede vedligeholderen til at give dem ret til at foretage kodeændringer til projektet.
Kurt Baumgartner, hovedforsker ved Kasperskys globale forsknings- og analyseteam, siger til Dark Reading, at yderligere datakilder, herunder login- og netflow-data, kan hjælpe med at efterforske identiteterne involveret i angrebet. "Open source-verdenen er vildt åben," siger han, "der gør det muligt for skumle identiteter at bidrage med tvivlsom kode til projekter, der er store afhængigheder."
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- Kilde: https://www.darkreading.com/application-security/attacker-social-engineered-backdoor-code-into-xz-utils
