יריב לא צריך כישורים טכניים מתוחכמים כדי לבצע התקפת שרשרת אספקת תוכנה רחבה כמו אלו שחוו SolarWinds ו-CodeCov. לפעמים, כל מה שצריך זה קצת זמן והנדסה חברתית גאונית.
נראה שזה היה המקרה עם מי שהציג דלת אחורית ב- XZ משתמש בכלי דחיסת נתונים בקוד פתוח במערכות לינוקס מוקדם יותר השנה. ניתוח האירוע מקספרסקי השבוע, ודיווחים דומים מאחרים בימים האחרונים, זיהו את התוקף כמי שמסתמך כמעט לחלוטין על מניפולציה חברתית להחליק את הדלת האחורית לתוך כלי השירות.
הנדסה חברתית שרשרת אספקת התוכנה בקוד פתוח
למרבה הצער, זה עשוי להיות מודל שבו משתמשים התוקפים כדי להחליק תוכנות זדוניות דומות לפרויקטים ורכיבים אחרים של קוד פתוח בשימוש נרחב.
בהתראה בשבוע שעבר, הקרן לאבטחת קוד פתוח (OSSF) הזהירה מפני שהתקפת XZ Utils ככל הנראה אינה אירוע בודד. הייעוץ זיהה לפחות מקרה אחד נוסף שבו א היריב השתמש בטקטיקות דומות לזו שבה השתמשו ב-XZ Utils להשתלט על קרן OpenJS לפרויקטים של JavaScript.
"קרן OSSF ו-OpenJS קוראות לכל מנהלי הקוד הפתוח להיות ערניים לניסיונות השתלטות של הנדסה חברתית, לזהות את דפוסי האיומים המוקדמים המתעוררים, ולנקוט בצעדים כדי להגן על פרויקטי הקוד הפתוח שלהם", נכתב בהתראה של OSSF.
מפתח ממיקרוסופט גילה את הדלת האחורית בגרסאות חדשות יותר של ספריית XZ בשם liblzma תוך חקירת התנהגות מוזרה סביב התקנת דביאן. באותה תקופה, רק מהדורות לא יציבות ובטא של גרסאות פדורה, דביאן, קאלי, openSUSE ו-Arch Linux היו עם הספרייה עם דלת אחורית, כלומר זו הייתה למעשה לא בעיה עבור רוב משתמשי לינוקס.
אבל האופן שבו התוקף הציג את הדלת האחורית מטריד במיוחד, אמר קספרקסי. "אחד המבדילים העיקריים של תקרית SolarWinds מהתקפות קודמות של שרשרת האספקה היה הגישה הסמויה והממושכת של היריב לסביבת המקור/פיתוח", אמר קספרסקי. "בתקרית XZ Utils זו, הגישה הממושכת הזו הושגה באמצעות הנדסה חברתית והורחבה עם אינטראקציות זהות אנושיות פיקטיביות לעין."
התקפה נמוכה ואיטית
נראה שהמתקפה החלה באוקטובר 2021, כאשר אדם שמשתמש בידית "Jia Tan" הגיש תיקון לא מזיק לפרויקט XZ Utils לאדם יחיד. במהלך השבועות והחודשים הבאים, חשבון Jia Tan הגיש מספר תיקונים דומים לא מזיקים (מתוארים בפירוט במסמך זה ציר זמן) לפרויקט XZ Utils, שהמתחזק היחיד שלו, אדם בשם לאסה קולינס, החל בסופו של דבר להתמזג לתוך השירות.
החל מאפריל 2022, כמה פרסונות אחרות - האחת משתמשת בידית "Jigar Kumar" והשנייה "Dennis Ens" - החלו לשלוח מיילים לקולינס, ללחוץ עליו לשלב את התיקונים של Tan ב-XZ Utils בקצב מהיר יותר.
הפרסונות של Jigar Kumar ודניס Ens הגבירו בהדרגה את הלחץ על קולינס, ובסופו של דבר ביקשו ממנו להוסיף עוד מתחזק לפרויקט. קולינס אישר בשלב מסוים את העניין שלו בשמירה על הפרויקט אך הודה כי הוא מוגבל על ידי "בעיות נפשיות ארוכות טווח". בסופו של דבר, קולינס נכנע ללחץ של קומאר ואנס ונתן לג'יה טאן גישה לפרויקט ואת הסמכות לבצע שינויים בקוד.
"המטרה שלהם הייתה להעניק גישה מלאה לקוד המקור של XZ Utils ל-Jia Tan ולהכניס בעדינות קוד זדוני ל-XZ Utils", אמר קספרסקי. "הזהויות אפילו מקיימות אינטראקציה זו עם זו בשרשורי דואר, ומתלוננים על הצורך להחליף את לאסה קולין כמתחזק XZ Utils." נראה שהפרסונות השונות בהתקפה - ג'יה טאן, ג'יגר קומאר ודניס אנס - נעשו בכוונה להיראות כאילו היו ממקומות גיאוגרפיים שונים, כדי להפיג כל ספק בנוגע לעבודתם במשותף. אדם אחר, או פרסונה, הנס יאנסן, הופיע לזמן קצר ביוני 2023 עם קוד אופטימיזציית ביצועים חדש עבור XZ Utils שבסופו של דבר השתלב בכלי השירות.
צוות רחב של שחקנים
Jia Tan הציגה את הדלת האחורית בינארית לכלי השירות בפברואר 2024 לאחר שהשיגה שליטה על משימות התחזוקה של XZ Util. לאחר מכן, הדמות של יאנסן צצה מחדש - יחד עם שתי פרסונות נוספות - כל אחת מהן לחצה על מפיצי לינוקס גדולים להכניס את כלי השירות בדלת האחורית להפצה שלהם, אמר קספרקסי.
מה שלא לגמרי ברור הוא אם ההתקפה כללה צוות קטן של שחקנים או אדם בודד שניהל בהצלחה כמה זהויות ותמרנו את המתחזק לתת להם את הזכות לבצע שינויים בקוד בפרויקט.
קורט באומגרטנר, חוקר ראשי בצוות המחקר והניתוח הגלובלי של קספרסקי, אומר ל-Dark Reading שמקורות נתונים נוספים, כולל נתוני התחברות ו-netflow, יכולים לסייע בחקירת הזהויות המעורבות במתקפה. "עולם הקוד הפתוח הוא עולם פתוח מאוד", הוא אומר, "המאפשר לזהויות עכורות לתרום קוד מפוקפק לפרויקטים שהם תלות גדולה".
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/application-security/attacker-social-engineered-backdoor-code-into-xz-utils
