एक प्रतिद्वंद्वी को सोलरविंड्स और कोडकोव द्वारा अनुभव किए गए व्यापक सॉफ़्टवेयर आपूर्ति श्रृंखला हमले को अंजाम देने के लिए परिष्कृत तकनीकी कौशल की आवश्यकता नहीं है। कभी-कभी, इसमें बस थोड़ा सा समय और सरल सोशल इंजीनियरिंग की आवश्यकता होती है।
ऐसा प्रतीत होता है कि जिसने भी इसमें पिछले दरवाजे की शुरुआत की है, उसके साथ ऐसा ही हुआ है XZ यूटिल्स ओपन सोर्स डेटा कम्प्रेशन यूटिलिटी इस वर्ष की शुरुआत में लिनक्स सिस्टम में। घटना का विश्लेषण इस सप्ताह कास्परस्की से, और हाल के दिनों में अन्य से इसी तरह की रिपोर्टों ने हमलावर की पहचान लगभग पूरी तरह से सामाजिक हेरफेर पर निर्भर होने के रूप में की है। पिछले दरवाजे से खिसक जाओ उपयोगिता में.
सोशल इंजीनियरिंग ओपन सोर्स सॉफ्टवेयर सप्लाई चेन
अशुभ रूप से, यह एक मॉडल हो सकता है जिसका उपयोग हमलावर अन्य व्यापक रूप से उपयोग किए जाने वाले ओपन सोर्स प्रोजेक्ट्स और घटकों में समान मैलवेयर डालने के लिए कर रहे हैं।
पिछले सप्ताह एक अलर्ट में, ओपन सोर्स सिक्योरिटी फाउंडेशन (ओएसएसएफ) ने चेतावनी दी थी कि एक्सजेड यूटिल्स हमला एक अलग घटना नहीं होगी। सलाहकार ने कम से कम एक अन्य उदाहरण की पहचान की जहां ए प्रतिद्वंद्वी ने एक्सज़ेड यूटिल्स पर इस्तेमाल की गई रणनीति के समान ही रणनीति अपनाई जावास्क्रिप्ट परियोजनाओं के लिए ओपनजेएस फाउंडेशन का अधिग्रहण करना।
ओएसएसएफ अलर्ट में कहा गया है, "ओएसएसएफ और ओपनजेएस फाउंडेशन सभी ओपन सोर्स अनुरक्षकों को सोशल इंजीनियरिंग अधिग्रहण प्रयासों के लिए सतर्क रहने, उभरते शुरुआती खतरे के पैटर्न को पहचानने और अपने ओपन सोर्स प्रोजेक्ट्स की सुरक्षा के लिए कदम उठाने के लिए कह रहे हैं।"
माइक्रोसॉफ्ट के एक डेवलपर ने डेबियन इंस्टॉलेशन के आसपास अजीब व्यवहार की जांच करते समय लिब्ज़मा नामक XZ लाइब्रेरी के नए संस्करणों में पिछले दरवाजे की खोज की। उस समय, केवल फेडोरा, डेबियन, काली, ओपनएसयूएसई और आर्क लिनक्स संस्करणों के अस्थिर और बीटा रिलीज में बैकडोर लाइब्रेरी थी, जिसका अर्थ है कि यह वास्तव में अधिकांश लिनक्स उपयोगकर्ताओं के लिए एक गैर-मुद्दा था।
लेकिन जिस तरह से हमलावर ने पिछले दरवाजे से हमला किया वह विशेष रूप से परेशान करने वाला है, कास्परस्की ने कहा। कास्परस्की ने कहा, "सोलरविंड्स घटना को पिछले आपूर्ति श्रृंखला हमलों से अलग करने वाले प्रमुख कारकों में से एक प्रतिद्वंद्वी की गुप्त, लंबे समय तक स्रोत/विकास वातावरण तक पहुंच थी।" "इस एक्सजेड यूटिल्स घटना में, यह लंबी पहुंच सोशल इंजीनियरिंग के माध्यम से प्राप्त की गई थी और स्पष्ट दृष्टि से काल्पनिक मानव पहचान इंटरैक्शन के साथ विस्तारित की गई थी।"
एक कम और धीमा हमला
ऐसा प्रतीत होता है कि हमला अक्टूबर 2021 में शुरू हुआ, जब "जिया टैन" हैंडल का उपयोग करने वाले एक व्यक्ति ने एकल-व्यक्ति XZ यूटिल्स प्रोजेक्ट के लिए एक हानिरहित पैच सबमिट किया। अगले कुछ हफ्तों और महीनों में, जिया टैन खाते ने कई समान हानिरहित पैच प्रस्तुत किए (इसमें विस्तार से वर्णित है)। समय) XZ यूटिल्स परियोजना के लिए, जिसका एकमात्र अनुरक्षक, लेसे कोलिन्स नामक एक व्यक्ति, अंततः उपयोगिता में विलय करना शुरू कर दिया।
अप्रैल 2022 से, कुछ अन्य व्यक्ति - एक "जिगर कुमार" और दूसरा "डेनिस एन्स" हैंडल का उपयोग कर रहे थे - ने कोलिन्स को ईमेल भेजना शुरू कर दिया, और उस पर तेज गति से टैन के पैच को एक्सजेड यूटिल्स में एकीकृत करने का दबाव डाला।
जिगर कुमार और डेनिस एन्स व्यक्तित्वों ने धीरे-धीरे कोलिन्स पर दबाव बढ़ाया, अंततः उन्हें परियोजना में एक और अनुरक्षक जोड़ने के लिए कहा। कोलिन्स ने एक बिंदु पर परियोजना को बनाए रखने में अपनी रुचि की पुष्टि की, लेकिन "दीर्घकालिक मानसिक स्वास्थ्य समस्याओं" के कारण विवश होने की बात स्वीकार की। आखिरकार, कोलिन्स ने कुमार और एन्स के दबाव के आगे घुटने टेक दिए और जिया टैन को परियोजना तक पहुंच और कोड में बदलाव करने का अधिकार दे दिया।
"उनका लक्ष्य जिया टैन को XZ यूटिल्स स्रोत कोड तक पूर्ण पहुंच प्रदान करना और XZ यूटिल्स में दुर्भावनापूर्ण कोड को सूक्ष्मता से पेश करना था," कैस्परस्की ने कहा। "पहचानें मेल थ्रेड्स पर भी एक-दूसरे के साथ बातचीत करती हैं, एक्सज़ेड यूटिल्स मेंटेनर के रूप में लेसे कॉलिन को बदलने की आवश्यकता के बारे में शिकायत करती हैं।" ऐसा प्रतीत होता है कि हमले में अलग-अलग व्यक्तित्व - जिया टैन, जिगर कुमार और डेनिस एन्स - जानबूझकर ऐसे बनाए गए हैं जैसे कि वे अलग-अलग भौगोलिक क्षेत्रों से आए हों, ताकि उनके एक साथ काम करने के बारे में किसी भी संदेह को दूर किया जा सके। एक अन्य व्यक्ति, या व्यक्तित्व, हंस जानसेन, जून 2023 में XZ यूटिल्स के लिए कुछ नए प्रदर्शन अनुकूलन कोड के साथ सामने आए, जो अंततः उपयोगिता में एकीकृत हो गए।
अभिनेताओं की एक विस्तृत श्रृंखला
जिया टैन ने एक्सजेड यूटिल रखरखाव कार्यों पर नियंत्रण हासिल करने के बाद फरवरी 2024 में बैकडोर बाइनरी को उपयोगिता में पेश किया। इसके बाद, जेनसन का चरित्र दो अन्य व्यक्तित्वों के साथ फिर से सामने आया - प्रत्येक ने प्रमुख लिनक्स वितरकों पर अपने वितरण में पिछले दरवाजे वाली उपयोगिता को पेश करने के लिए दबाव डाला, कैस्परस्की ने कहा।
यह पूरी तरह से स्पष्ट नहीं है कि क्या हमले में अभिनेताओं की एक छोटी टीम शामिल थी या एक अकेला व्यक्ति जिसने सफलतापूर्वक कई लोगों को प्रबंधित किया था पहचान की और अनुरक्षक को परियोजना में कोड परिवर्तन करने का अधिकार देने के लिए हेरफेर किया।
कैस्परस्की की वैश्विक अनुसंधान और विश्लेषण टीम के प्रमुख शोधकर्ता कर्ट बॉमगार्टनर ने डार्क रीडिंग को बताया कि लॉगिन और नेटफ्लो डेटा सहित अतिरिक्त डेटा स्रोत, हमले में शामिल पहचान की जांच में सहायता कर सकते हैं। वह कहते हैं, "खुले स्रोत की दुनिया बेहद खुली है, जो प्रमुख निर्भरता वाली परियोजनाओं में संदिग्ध कोड का योगदान करने के लिए संदिग्ध पहचान को सक्षम बनाती है।"
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
- प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
- प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/application-security/attacker-social-engineered-backdoor-code-into-xz-utils
