Generative Datenintelligenz

Cybersicherheit

Angreifer haben durch Social Engineering Backdoor-Code in XZ Utils eingeschleust

Neuauflage von Plato
Neuauflage von Plato

Datum:

Views: 0

Ein Angreifer benötigt keine ausgefeilten technischen Fähigkeiten, um einen umfassenden Angriff auf die Software-Lieferkette durchzuführen, wie ihn SolarWinds und CodeCov erlebt haben. Manchmal braucht es nur ein wenig Zeit und einfallsreiches Social Engineering.

Das scheint bei demjenigen der Fall gewesen zu sein, der eine Hintertür in das System eingeführt hat XZ Utils Open-Source-Dienstprogramm zur Datenkomprimierung in Linux-Systemen Anfang dieses Jahres. Analyse des Vorfalls von Kaspersky diese Woche und ähnliche Berichte von anderen in den letzten Tagen ergaben, dass der Angreifer fast ausschließlich auf soziale Manipulation setzt Öffne die Hintertür in das Dienstprogramm ein.

Social Engineering der Open-Source-Software-Lieferkette

Beunruhigenderweise könnte es sich um ein Modell handeln, das Angreifer nutzen, um ähnliche Malware in andere weit verbreitete Open-Source-Projekte und -Komponenten einzuschleusen.

In einer Warnung letzte Woche warnte die Open Source Security Foundation (OSSF), dass der XZ Utils-Angriff wahrscheinlich kein Einzelfall sei. Die Empfehlung identifizierte mindestens einen weiteren Fall, in dem ein Der Gegner wandte eine ähnliche Taktik an wie bei XZ Utils die OpenJS Foundation für JavaScript-Projekte zu übernehmen.

„Die OSSF- und OpenJS-Stiftungen rufen alle Open-Source-Betreuer dazu auf, vor Social-Engineering-Übernahmeversuchen wachsam zu sein, frühzeitig auftretende Bedrohungsmuster zu erkennen und Maßnahmen zum Schutz ihrer Open-Source-Projekte zu ergreifen“, heißt es in der OSSF-Warnung.

Ein Entwickler von Microsoft entdeckte die Hintertür in neueren Versionen einer XZ-Bibliothek namens liblzma, als er seltsames Verhalten bei einer Debian-Installation untersuchte. Zu dieser Zeit verfügten nur Unstable- und Beta-Versionen der Linux-Versionen Fedora, Debian, Kali, openSUSE und Arch über die Backdoor-Bibliothek, was bedeutete, dass sie für die meisten Linux-Benutzer praktisch kein Problem darstellte.

Besonders besorgniserregend sei jedoch die Art und Weise, wie der Angreifer die Hintertür eingeführt habe, sagte Kasperksy. „Eines der Hauptunterscheidungsmerkmale des SolarWinds-Vorfalls von früheren Angriffen auf die Lieferkette war der verdeckte, längere Zugriff des Angreifers auf die Quell-/Entwicklungsumgebung“, sagte Kaspersky. „Bei diesem XZ Utils-Vorfall wurde dieser verlängerte Zugriff durch Social Engineering erlangt und durch offensichtlich sichtbare fiktive menschliche Identitätsinteraktionen erweitert.“

Ein niedriger und langsamer Angriff

Der Angriff scheint im Oktober 2021 begonnen zu haben, als eine Person mit dem Benutzernamen „Jia Tan“ einen harmlosen Patch an das Einzelprojekt XZ Utils übermittelte. Im Laufe der nächsten Wochen und Monate übermittelte der Jia Tan-Account mehrere ähnliche harmlose Patches (hier im Detail beschrieben). Timeline) an das XZ Utils-Projekt, dessen einziger Betreuer, eine Person namens Lasse Collins, schließlich begann, es mit dem Dienstprogramm zu verschmelzen.

Ab April 2022 begannen einige andere Personas – eine mit dem Benutzernamen „Jigar Kumar“ und die andere mit „Dennis Ens“ – E-Mails an Collins zu senden und ihn unter Druck zu setzen, Tans Patches schneller in XZ Utils zu integrieren.

Die Persönlichkeiten Jigar Kumar und Dennis Ens erhöhten nach und nach den Druck auf Collins und baten ihn schließlich, dem Projekt einen weiteren Betreuer hinzuzufügen. Collins bekräftigte einmal sein Interesse an der Aufrechterhaltung des Projekts, gab jedoch zu, dass er durch „langfristige psychische Probleme“ eingeschränkt sei. Schließlich gab Collins dem Druck von Kumar und Ens nach und erteilte Jia Tan Commit-Zugriff auf das Projekt und die Befugnis, Änderungen am Code vorzunehmen.

„Ihr Ziel war es, Jia Tan vollen Zugriff auf den Quellcode von XZ Utils zu gewähren und auf subtile Weise Schadcode in XZ Utils einzuschleusen“, sagte Kaspersky. „Die Identitäten interagieren sogar in E-Mail-Threads miteinander und beschweren sich über die Notwendigkeit, Lasse Collin als XZ Utils-Betreuer zu ersetzen.“ Die verschiedenen Personen des Angriffs – Jia Tan, Jigar Kumar und Dennis Ens – scheinen absichtlich so gestaltet worden zu sein, als kämen sie aus unterschiedlichen Regionen, um jegliche Zweifel an ihrer Zusammenarbeit auszuräumen. Eine andere Person oder Persona, Hans Jansen, tauchte im Juni 2023 kurzzeitig mit einem neuen Leistungsoptimierungscode für XZ Utils auf, der schließlich in das Dienstprogramm integriert wurde.

Eine breite Besetzung an Schauspielern

Jia Tan führte die Backdoor-Binärdatei im Februar 2024 in das Dienstprogramm ein, nachdem er die Kontrolle über die Wartungsaufgaben des XZ Util übernommen hatte. Anschließend tauchte die Jansen-Figur wieder auf – zusammen mit zwei anderen Personen – und übte jeweils Druck auf die großen Linux-Distributoren aus, das Backdoor-Dienstprogramm in ihre Distribution einzuführen, sagte Kasperksy.

Es ist nicht ganz klar, ob an dem Angriff ein kleines Team von Akteuren beteiligt war oder eine einzelne Person, die mehrere erfolgreich bewältigte Identitäten und manipulierten den Betreuer, um ihm das Recht zu geben, Codeänderungen am Projekt vorzunehmen.

Kurt Baumgartner, leitender Forscher im globalen Forschungs- und Analyseteam von Kaspersky, erklärt gegenüber Dark Reading, dass zusätzliche Datenquellen, einschließlich Anmelde- und Netflow-Daten, bei der Untersuchung der an dem Angriff beteiligten Identitäten hilfreich sein könnten. „Die Welt von Open Source ist völlig offen“, sagt er, „und es ermöglicht unklaren Identitäten, fragwürdigen Code zu Projekten beizutragen, die große Abhängigkeiten darstellen.“

spot_img

Neueste Intelligenz

spot_img

Copyright @ 2024 Plato Technologies Inc.

Chat mit uns

Hallo! Wie kann ich dir helfen?