生成的データ インテリジェンス

サイバーセキュリティ

攻撃者によるソーシャルエンジニアリングによるバックドアコードが XZ Utils に侵入

プラトンによって再発行
プラトンによって再発行

日付:

閲覧数: 0

SolarWinds や CodeCov が経験したような広範なソフトウェア サプライ チェーン攻撃を実行するのに、敵は高度な技術スキルを必要としません。場合によっては、少しの時間と独創的なソーシャル エンジニアリングだけで解決できることもあります。

バックドアを導入した人物も同様だったようです。 XZ Utils オープンソース データ圧縮ユーティリティ 今年初めに Linux システムで導入されました。 事件の分析 今週のカスペルスキーからの報告と、ここ数日の他社からの同様の報告では、攻撃者がほぼ完全に社会的操作に依存していることが特定されました。 バックドアを滑らせる ユーティリティに。

オープンソース ソフトウェア サプライ チェーンのソーシャル エンジニアリング

不気味なことに、これは攻撃者が他の広く使用されているオープンソース プロジェクトやコンポーネントに同様のマルウェアを紛れ込ませるために使用しているモデルである可能性があります。

Open Source Security Foundation (OSSF) は先週の警告で、XZ Utils 攻撃は単独のインシデントではない可能性が高いと警告しました。この勧告では、他にも少なくとも 1 件の事例が特定されました。 敵は XZ Utils で使用されたものと同様の戦術を採用しました OpenJS Foundation for JavaScript プロジェクトを引き継ぐためです。

「OSSFとOpenJS財団は、すべてのオープンソース管理者に対し、ソーシャルエンジニアリングによる乗っ取りの試みに警戒し、出現している初期の脅威パターンを認識し、オープンソースプロジェクトを保護するための措置を講じるよう呼び掛けている」とOSSFの警告には書かれている。

Microsoft の開発者は、Debian インストールに関する奇妙な動作を調査中に、liblzma と呼ばれる XZ ライブラリの新しいバージョンにバックドアを発見しました。当時、バックドア ライブラリが存在するのは、Fedora、Debian、Kali、openSUSE、および Arch Linux バージョンの不安定リリースとベータ リリースのみでした。つまり、ほとんどの Linux ユーザーにとって、バックドア ライブラリは事実上問題ではありませんでした。

しかし、攻撃者がバックドアを導入した方法が特に問題であるとカスペルスキー氏は述べた。 「SolarWinds事件とこれまでのサプライチェーン攻撃との主な違いの1つは、攻撃者がソース/開発環境に秘密裏に長時間アクセスしていたことだ」とカスペルスキーは述べた。 「今回の XZ Utils 事件では、この長期にわたるアクセスがソーシャル エンジニアリングを介して取得され、目に見えて架空の人間のアイデンティティのやり取りによって拡張されました。」

低くて遅い攻撃

この攻撃は、2021 年 XNUMX 月に「Jia Tan」というハンドル名を使用する個人が個人の XZ Utils プロジェクトに無害なパッチを提出したときに始まったと思われます。その後数週間から数か月にわたって、Jia Tan アカウントは複数の同様の無害なパッチを提出しました (詳細については、このパッチを参照してください) タイムライン) を XZ Utils プロジェクトに移し、その唯一のメンテナーである Lasse Collins という個人が最終的にこのユーティリティにマージし始めました。

2022 年 XNUMX 月から、他の XNUMX 人のペルソナ (XNUMX 人はハンドル名「Jigar Kumar」、もう XNUMX 人は「Dennis Ens」) がコリンズに電子メールを送信し始め、タンのパッチをより速いペースで XZ Utils に統合するよう圧力をかけました。

Jigar Kumar と Dennis Ens のペルソナはコリンズに対する圧力を徐々に強め、最終的にはプロジェクトに別のメンテナーを追加するようコリンズに要求しました。コリンズ氏はある時点で、プロジェクトを維持することに関心があることを再確認したが、「長期的な精神衛生上の問題」によって制約を受けていると告白した。結局、Collins は Kumar と Ens からの圧力に屈し、Jia Tan にプロジェクトへのコミット アクセスとコードを変更する権限を与えました。

「彼らの目的は、Jia Tan に XZ Utils のソースコードへのフルアクセスを許可し、XZ Utils に悪意のあるコードを巧妙に導入することでした」とカスペルスキーは述べた。 「これらのアイデンティティはメール スレッド上で相互にやり取りし、XZ Utils のメンテナとして Lasse Collin を置き換える必要性について不平を言っています。」攻撃に参加したさまざまな人物、ジア・タン、ジガー・クマール、デニス・エンスは、彼らが連携して活動しているという疑念を払拭するために、意図的に異なる地域出身であるかのように見せかけられているようだ。別の人物、またはペルソナ、ハンス ヤンセンは、XZ Utils 用の新しいパフォーマンス最適化コードを使用して 2023 年 XNUMX 月に一時的に浮上しましたが、最終的にはユーティリティに統合されました。

幅広い俳優陣

Jia Tan は、XZ Util メンテナンス タスクの制御を取得した後、2024 年 XNUMX 月にバックドア バイナリをユーティリティに導入しました。その後、ジャンセンという人物が他の XNUMX 人の人物とともに再浮上し、それぞれが大手 Linux ディストリビュータに対し、自社のディストリビューションにバックドア ユーティリティを導入するよう圧力をかけたとカスペルスキーは述べた。

完全に明らかではないのは、攻撃に小規模な攻撃者チームが関与したのか、それとも複数の攻撃をうまく管理した 1 人の個人が関与したのかということです。 ID を取得し、メンテナを操作して、プロジェクトにコードを変更する権利を与えました。

カスペルスキーのグローバル調査分析チームの主任研究員であるカート・バウムガルトナー氏は、ログインやネットフローのデータを含む追加のデータソースが攻撃に関与した身元の調査に役立つ可能性があるとDark Readingに語った。 「オープンソースの世界は非常にオープンな世界です。そのため、曖昧なアイデンティティが主要な依存関係のあるプロジェクトに疑わしいコードを提供することが可能になります。」と彼は言います。

スポット画像

最新のインテリジェンス

スポット画像

著作権 @ 2024 Plato Technologies Inc.

私たちとチャット

やあ! どんな御用でしょうか?