생성 데이터 인텔리전스

사이버 보안

공격자가 XZ 유틸리티에 사회 공학적으로 설계된 백도어 코드를 삽입함

Plato에 의해 재발행
Plato에 의해 재발행

시간

조회 수 : 0

공격자는 SolarWinds 및 CodeCov에서 경험한 것과 같은 광범위한 소프트웨어 공급망 공격을 실행하기 위해 정교한 기술이 필요하지 않습니다. 때로는 약간의 시간과 독창적인 사회 공학이 필요한 경우도 있습니다.

시스템에 백도어를 도입한 사람이 그랬던 것 같습니다. XZ Utils 오픈 소스 데이터 압축 유틸리티 올해 초 Linux 시스템에서. 사건 분석 이번 주 Kaspersky의 보고서와 최근 다른 사람들의 유사한 보고서에 따르면 공격자는 거의 전적으로 사회적 조작에 의존하여 뒷문을 미끄러지다 유틸리티에.

오픈 소스 소프트웨어 공급망의 사회 공학

불길하게도 이는 공격자가 널리 사용되는 다른 오픈 소스 프로젝트 및 구성 요소에 유사한 악성 코드를 삽입하기 위해 사용하는 모델일 수 있습니다.

OSSF(오픈 소스 보안 재단)는 지난 주 경고를 통해 XZ Utils 공격이 고립된 사건이 ​​아닐 가능성이 높다고 경고했습니다. 권고는 다음과 같은 경우를 적어도 하나 이상 식별했습니다. 적군은 XZ Utils에서 사용된 것과 유사한 전술을 사용했습니다. OpenJS Foundation for JavaScript 프로젝트를 인수합니다.

OSSF 경고문에는 “OSSF와 OpenJS 재단은 모든 오픈소스 유지관리자에게 사회 공학 인수 시도에 대해 경계하고, 초기 위협 패턴을 인식하고, 오픈소스 프로젝트를 보호하기 위한 조치를 취할 것을 촉구하고 있습니다.”라고 밝혔습니다.

Microsoft의 개발자는 Debian 설치와 관련된 이상한 동작을 조사하는 동안 liblzma라는 XZ 라이브러리의 최신 버전에서 백도어를 발견했습니다. 당시에는 Fedora, Debian, Kali, openSUSE 및 Arch Linux 버전의 불안정한 베타 릴리스에만 백도어 라이브러리가 있었습니다. 즉, 대부분의 Linux 사용자에게는 사실상 문제가 되지 않았습니다.

그러나 공격자가 백도어를 도입한 방식은 특히 문제가 된다고 Kasperksy는 말했습니다. Kaspersky는 “이전 공급망 공격과 SolarWinds 사건의 주요 차이점 중 하나는 공격자가 소스/개발 환경에 은밀하게 장기간 접근했다는 것입니다.”라고 말했습니다. "이 XZ Utils 사건에서 이러한 장기간의 액세스는 사회 공학을 통해 획득되었으며 눈에 잘 띄는 가상의 인간 신원 상호 작용을 통해 확장되었습니다."

낮고 느린 공격

공격은 "Jia Tan"이라는 핸들을 사용하는 개인이 2021인 XZ Utils 프로젝트에 무해한 패치를 제출한 XNUMX년 XNUMX월에 시작된 것으로 보입니다. 다음 몇 주 및 몇 달 동안 Jia Tan 계정은 유사한 무해한 패치를 여러 개 제출했습니다(자세한 내용은 이 패치에 설명되어 있음). 타임 라인)를 XZ Utils 프로젝트에 추가했는데, 이 프로젝트의 유일한 관리자인 Lasse Collins가 결국 유틸리티에 병합되기 시작했습니다.

2022년 XNUMX월부터 두 명의 다른 페르소나(하나는 "Jigar Kumar" 핸들을 사용하고 다른 하나는 "Dennis Ens")가 Collins에게 이메일을 보내기 시작하여 Tan의 패치를 더 빠른 속도로 XZ Utils에 통합하도록 압력을 가했습니다.

Jigar Kumar와 Dennis Ens의 페르소나는 점점 더 Collins에게 압력을 가해 결국 프로젝트에 다른 관리자를 추가하도록 요청했습니다. Collins는 한때 프로젝트 유지에 대한 관심을 재확인했지만 "장기적인 정신 건강 문제"로 인해 제약을 받고 있음을 고백했습니다. 결국 Collins는 Kumar와 Ens의 압력에 굴복하여 Jia Tan에게 프로젝트에 대한 액세스 권한과 코드 변경 권한을 부여했습니다.

Kaspersky는 “그들의 목표는 Jia Tan에게 XZ Utils 소스 코드에 대한 전체 액세스 권한을 부여하고 XZ Utils에 악성 코드를 교묘하게 도입하는 것이었습니다.”라고 말했습니다. "신원은 XZ Utils 관리자로서 Lasse Collin을 교체해야 한다고 불평하면서 메일 스레드에서 서로 상호 작용하기도 합니다." 공격에 참여한 다양한 페르소나(Jia Tan, Jigar Kumar 및 Dennis Ens)는 의도적으로 서로 다른 지역에서 온 것처럼 보이도록 만들어 협력 작업에 대한 의심을 불식시킨 것으로 보입니다. 또 다른 개인 또는 페르소나인 Hans Jansen은 2023년 XNUMX월에 유틸리티에 통합된 XZ Utils용 새로운 성능 최적화 코드와 함께 잠깐 등장했습니다.

다양한 배우 출연

Jia Tan은 XZ Util 유지 관리 작업을 제어한 후 2024년 XNUMX월 유틸리티에 백도어 바이너리를 도입했습니다. 그 후 Jansen 캐릭터는 다른 두 인물과 함께 다시 등장하여 주요 Linux 배포자에게 백도어 유틸리티를 배포판에 도입하도록 압력을 가했다고 Kasperksy는 말했습니다.

완전히 명확하지 않은 것은 공격에 소규모 행위자 팀이 관여했는지 아니면 여러 공격을 성공적으로 관리한 한 개인이 관여했는지 여부입니다. 신원을 확인하고 관리자를 조작하여 프로젝트의 코드를 변경할 수 있는 권한을 부여했습니다.

Kaspersky 글로벌 연구 분석 팀의 수석 연구원인 Kurt Baumgartner는 Dark Reading에 로그인 및 넷플로우 데이터를 포함한 추가 데이터 소스가 공격과 관련된 신원 조사에 도움이 될 수 있다고 말했습니다. "오픈 소스의 세계는 매우 개방적입니다." 그는 "주요 종속성인 프로젝트에 의심스러운 코드를 제공할 수 있는 모호한 ID를 허용합니다."라고 말합니다.

spot_img

최신 인텔리전스

spot_img

저작권 @ 2024 Plato Technologies Inc.

우리와 함께 채팅

안녕하세요! 어떻게 도와 드릴까요?