Intelligence de données générative

Cyber sécurité

Code de porte dérobée d'ingénierie sociale d'un attaquant dans les utilitaires XZ

Réédité par Platon
Réédité par Platon

Date :

Vues: 0

Un adversaire n’a pas besoin de compétences techniques sophistiquées pour exécuter une attaque à grande échelle sur la chaîne d’approvisionnement logicielle comme celles subies par SolarWinds et CodeCov. Parfois, il suffit d’un peu de temps et d’une ingénieuse ingénierie sociale.

Cela semble avoir été le cas de celui qui a introduit une porte dérobée dans le Utilitaire de compression de données open source XZ Utils dans les systèmes Linux plus tôt cette année. Analyse de l'incident de Kaspersky cette semaine, et des rapports similaires d'autres ces derniers jours, ont identifié l'attaquant comme s'appuyant presque entièrement sur la manipulation sociale pour glisser la porte arrière dans l'utilitaire.

Ingénierie sociale de la chaîne d'approvisionnement des logiciels open source

Malheureusement, il pourrait s'agir d'un modèle que les attaquants utilisent pour introduire des logiciels malveillants similaires dans d'autres projets et composants open source largement utilisés.

Dans une alerte la semaine dernière, l'Open Source Security Foundation (OSSF) a averti que l'attaque XZ Utils n'était probablement pas un incident isolé. L'avis a identifié au moins un autre cas où un l'adversaire a employé des tactiques similaires à celle utilisée sur XZ Utils pour reprendre la Fondation OpenJS pour les projets JavaScript.

"Les fondations OSSF et OpenJS appellent tous les responsables de l'open source à être attentifs aux tentatives de prise de contrôle par ingénierie sociale, à reconnaître les premiers modèles de menaces émergentes et à prendre des mesures pour protéger leurs projets open source", indique l'alerte OSSF.

Un développeur de Microsoft a découvert la porte dérobée dans les versions plus récentes d'une bibliothèque XZ appelée liblzma alors qu'il enquêtait sur un comportement étrange autour d'une installation Debian. À l'époque, seules les versions instables et bêta des versions Fedora, Debian, Kali, openSUSE et Arch Linux disposaient de la bibliothèque de porte dérobée, ce qui signifie que ce n'était pratiquement pas un problème pour la plupart des utilisateurs de Linux.

Mais la manière dont l’attaquant a introduit la porte dérobée est particulièrement troublante, a déclaré Kasperksy. « L'un des principaux différenciateurs de l'incident de SolarWinds par rapport aux attaques précédentes sur la chaîne d'approvisionnement était l'accès secret et prolongé de l'adversaire à l'environnement source/de développement », a déclaré Kaspersky. "Dans cet incident XZ Utils, cet accès prolongé a été obtenu via l'ingénierie sociale et étendu avec des interactions d'identité humaine fictives bien en vue."

Une attaque basse et lente

L'attaque semble avoir commencé en octobre 2021, lorsqu'un individu utilisant le pseudo « Jia Tan » a soumis un correctif inoffensif au projet individuel XZ Utils. Au cours des semaines et mois suivants, le compte Jia Tan a soumis plusieurs correctifs inoffensifs similaires (décrits en détail dans ce document). calendrier) au projet XZ Utils, que son seul responsable, un individu nommé Lasse Collins, a finalement commencé à fusionner dans l'utilitaire.

À partir d'avril 2022, quelques autres personnages – l'un utilisant le pseudo « Jigar Kumar » et l'autre « Dennis Ens » – ont commencé à envoyer des e-mails à Collins, le faisant pression pour qu'il intègre les correctifs de Tan dans XZ Utils à un rythme plus rapide.

Les personnages de Jigar Kumar et Dennis Ens ont progressivement augmenté la pression sur Collins, lui demandant finalement d'ajouter un autre responsable au projet. Collins a réaffirmé à un moment donné son intérêt à maintenir le projet, mais a avoué être limité par des « problèmes de santé mentale à long terme ». Finalement, Collins a succombé à la pression de Kumar et Ens et a donné à Jia Tan un accès au projet et le pouvoir d'apporter des modifications au code.

"Leur objectif était d'accorder un accès complet au code source de XZ Utils à Jia Tan et d'introduire subtilement du code malveillant dans XZ Utils", a déclaré Kaspersky. "Les identités interagissent même les unes avec les autres sur les fils de discussion, se plaignant de la nécessité de remplacer Lasse Collin en tant que responsable de XZ Utils." Les différents personnages de l’attaque – Jia Tan, Jigar Kumar et Dennis Ens – semblent avoir été délibérément donnés pour donner l’impression qu’ils venaient de zones géographiques différentes, afin de dissiper tout doute sur leur travail de concert. Un autre individu, ou personnage, Hans Jansen, a fait brièvement surface en juin 2023 avec un nouveau code d'optimisation des performances pour XZ Utils qui a fini par être intégré à l'utilitaire.

Un large casting d'acteurs

Jia Tan a introduit le binaire de porte dérobée dans l'utilitaire en février 2024 après avoir pris le contrôle des tâches de maintenance de XZ Util. Suite à cela, le personnage de Jansen a refait surface – avec deux autres personnages – chacun faisant pression sur les principaux distributeurs Linux pour qu'ils introduisent l'utilitaire de porte dérobée dans leur distribution, a déclaré Kasperksy.

Ce qui n'est pas tout à fait clair, c'est si l'attaque impliquait une petite équipe d'acteurs ou un seul individu qui a réussi à gérer plusieurs identités et manipulé le responsable pour lui donner le droit d’apporter des modifications au code du projet.

Kurt Baumgartner, chercheur principal de l'équipe mondiale de recherche et d'analyse de Kaspersky, explique à Dark Reading que des sources de données supplémentaires, notamment les données de connexion et Netflow, pourraient aider à enquêter sur les identités impliquées dans l'attaque. "Le monde de l'open source est extrêmement ouvert", dit-il, "permettant à des identités obscures de contribuer au code douteux de projets qui constituent des dépendances majeures".

spot_img

Dernières informations

spot_img

Copyright @ 2024 Platon Technologies Inc.

Discutez avec nous

Salut! Comment puis-je t'aider?