Intelligenza generativa dei dati

Cyber ​​Security

Codice backdoor di ingegneria sociale dell'aggressore in XZ Utils

Ripubblicato da Platone
Ripubblicato da Platone

Data:

Visualizzazioni: 0

Un avversario non ha bisogno di competenze tecniche sofisticate per eseguire un ampio attacco alla catena di fornitura del software come quelli sperimentati da SolarWinds e CodeCov. A volte, tutto ciò che serve è un po’ di tempo e un’ingegnosa ingegneria sociale.

Sembra che questo sia stato il caso di chiunque abbia introdotto una backdoor nel file XZ Utils, utilità di compressione dati open source nei sistemi Linux all'inizio di quest'anno. Analisi dell'incidente da Kaspersky questa settimana, e rapporti simili di altri nei giorni scorsi, hanno identificato l'aggressore che si affidava quasi interamente alla manipolazione sociale per fai scivolare la porta sul retro nell'utilità.

Ingegneria sociale la catena di fornitura del software open source

Inquietantemente, potrebbe trattarsi di un modello utilizzato dagli aggressori per inserire malware simili in altri progetti e componenti open source ampiamente utilizzati.

In un avviso della scorsa settimana, la Open Source Security Foundation (OSSF) ha avvertito che l’attacco XZ Utils probabilmente non sarà un incidente isolato. L'avviso ha identificato almeno un altro caso in cui un l'avversario ha utilizzato tattiche simili a quelle utilizzate su XZ Utils assumere il controllo della OpenJS Foundation per i progetti JavaScript.

"Le fondazioni OSSF e OpenJS chiedono a tutti i manutentori open source di prestare attenzione ai tentativi di acquisizione di ingegneria sociale, di riconoscere i primi modelli di minaccia emergenti e di adottare misure per proteggere i loro progetti open source", si legge nell'avviso OSSF.

Uno sviluppatore di Microsoft ha scoperto la backdoor nelle versioni più recenti di una libreria XZ chiamata liblzma mentre indagava su comportamenti strani attorno a un'installazione Debian. All'epoca, solo le versioni unstable e beta delle versioni Fedora, Debian, Kali, openSUSE e Arch Linux avevano la libreria backdoor, il che significa che era praticamente un non-problema per la maggior parte degli utenti Linux.

Ma il modo in cui l’aggressore ha introdotto la backdoor è particolarmente preoccupante, ha detto Kasperksy. "Uno dei principali elementi che differenziano l'incidente SolarWinds dai precedenti attacchi alla catena di fornitura è stato l'accesso prolungato e nascosto da parte dell'avversario all'ambiente di origine/sviluppo", ha affermato Kaspersky. "In questo incidente di XZ Utils, questo accesso prolungato è stato ottenuto tramite ingegneria sociale ed esteso con interazioni fittizie di identità umana in bella vista."

Un attacco basso e lento

Sembra che l'attacco sia iniziato nell'ottobre 2021, quando un individuo che utilizzava lo pseudonimo "Jia Tan" ha presentato una patch innocua al progetto XZ Utils condotto da una sola persona. Nel corso delle settimane e dei mesi successivi, l'account Jia Tan ha inviato numerose patch innocue simili (descritte in dettaglio in questo time line) al progetto XZ Utils, che il suo unico manutentore, un individuo di nome Lasse Collins, alla fine iniziò a fondersi nell'utility.

A partire dall'aprile 2022, un paio di altri personaggi - uno che utilizzava lo pseudonimo "Jigar Kumar" e l'altro "Dennis Ens" - hanno iniziato a inviare e-mail a Collins, spingendolo a integrare le patch di Tan in XZ Utils a un ritmo più rapido.

I personaggi di Jigar Kumar e Dennis Ens hanno gradualmente aumentato la pressione su Collins, chiedendogli infine di aggiungere un altro manutentore al progetto. Collins a un certo punto ha riaffermato il suo interesse a mantenere il progetto, ma ha confessato di essere limitato da “problemi di salute mentale a lungo termine”. Alla fine, Collins cedette alle pressioni di Kumar ed Ens e diede a Jia Tan l'accesso al progetto e l'autorità di apportare modifiche al codice.

"Il loro obiettivo era garantire a Jia Tan l'accesso completo al codice sorgente di XZ Utils e introdurre in modo subdolo codice dannoso in XZ Utils", ha affermato Kaspersky. "Le identità interagiscono anche tra loro nei thread di posta, lamentandosi della necessità di sostituire Lasse Collin come manutentore di XZ Utils." I diversi personaggi coinvolti nell'attacco - Jia Tan, Jigar Kumar e Dennis Ens - sembrano essere stati deliberatamente fatti sembrare provenienti da aree geografiche diverse, per dissipare ogni dubbio sul loro lavoro di concerto. Un altro individuo, o personaggio, Hans Jansen, è emerso brevemente nel giugno 2023 con un nuovo codice di ottimizzazione delle prestazioni per XZ Utils che è stato integrato nell'utilità.

Un ampio cast di attori

Jia Tan ha introdotto il binario backdoor nell'utilità nel febbraio 2024 dopo aver acquisito il controllo delle attività di manutenzione di XZ Util. Successivamente, il personaggio di Jansen è riemerso, insieme ad altri due personaggi, ciascuno dei quali ha fatto pressione sui principali distributori Linux affinché introducessero l'utilità backdoor nella loro distribuzione, ha detto Kasperksy.

Ciò che non è del tutto chiaro è se l'attacco abbia coinvolto un piccolo gruppo di attori o un singolo individuo che ne ha gestiti con successo diversi identità e manipolato il manutentore per dargli il diritto di apportare modifiche al codice del progetto.

Kurt Baumgartner, ricercatore principale del team di ricerca e analisi globale di Kaspersky, ha dichiarato a Dark Reading che ulteriori fonti di dati, inclusi dati di accesso e flusso di rete, potrebbero aiutare nell'indagine sulle identità coinvolte nell'attacco. "Il mondo dell'open source è estremamente aperto", afferma, "permettendo a identità oscure di contribuire con codice discutibile a progetti che rappresentano le principali dipendenze".

spot_img

L'ultima intelligenza

spot_img

Copyright @ 2024 Plato Technologies Inc.

Parla con noi

Ciao! Come posso aiutarla?