En motstander trenger ikke sofistikerte tekniske ferdigheter for å utføre et bredt programvareforsyningskjedeangrep som det SolarWinds og CodeCov opplever. Noen ganger er alt som trengs, litt tid og genial sosial ingeniørkunst.
Det ser ut til å ha vært tilfelle med den som introduserte en bakdør i XZ bruker åpen kildekode-datakomprimeringsverktøy i Linux-systemer tidligere i år. Analyse av hendelsen fra Kaspersky denne uken, og lignende rapporter fra andre de siste dagene, identifiserte angriperen som nesten utelukkende avhengig av sosial manipulasjon for å slipp bakdøren inn i verktøyet.
Sosial engineering, forsyningskjeden for åpen kildekode
Illevarslende kan det være en modell som angripere bruker for å slippe lignende skadelig programvare inn i andre mye brukte åpen kildekode-prosjekter og -komponenter.
I et varsel forrige uke advarte Open Source Security Foundation (OSSF) om at XZ Utils-angrepet sannsynligvis ikke er en isolert hendelse. Den rådgivende identifiserte minst ett annet tilfelle hvor en motstanderen brukte taktikk som ligner på den som ble brukt på XZ Utils å overta OpenJS Foundation for JavaScript-prosjekter.
"OSSF og OpenJS Foundations oppfordrer alle åpen kildekode-vedlikeholdere til å være på vakt for forsøk på overtakelse av sosial ingeniørkunst, å gjenkjenne de tidlige trusselmønstrene som dukker opp, og å ta skritt for å beskytte deres åpen kildekode-prosjekter," sa OSSF-varselet.
En utvikler fra Microsoft oppdaget bakdøren i nyere versjoner av et XZ-bibliotek kalt liblzma mens han undersøkte merkelig oppførsel rundt en Debian-installasjon. På den tiden var det bare ustabile og beta-utgivelser av Fedora, Debian, Kali, openSUSE og Arch Linux-versjoner som hadde bakdørsbiblioteket, noe som betyr at det praktisk talt var et ikke-problem for de fleste Linux-brukere.
Men måten angriperen introduserte bakdøren på er spesielt urovekkende, sa Kasperksy. "En av de viktigste forskjellene på SolarWinds-hendelsen fra tidligere forsyningskjedeangrep var motstanderens skjulte, langvarige tilgang til kilde-/utviklingsmiljøet," sa Kaspersky. "I denne XZ Utils-hendelsen ble denne langvarige tilgangen oppnådd via sosial ingeniørkunst og utvidet med fiktive menneskelige identitetsinteraksjoner i tydelig syn."
Et lavt og sakte angrep
Angrepet ser ut til å ha begynt i oktober 2021, da en person som brukte håndtaket "Jia Tan" sendte inn en ufarlig oppdatering til XZ Utils-prosjektet for én person. I løpet av de neste ukene og månedene sendte Jia Tan-kontoen inn flere lignende ufarlige oppdateringer (beskrevet i detalj i denne tidslinje) til XZ Utils-prosjektet, som dets eneste vedlikeholder, en person ved navn Lasse Collins, til slutt begynte å slå seg sammen i verktøyet.
Fra april 2022 begynte et par andre personas - den ene med håndtaket "Jigar Kumar" og den andre "Dennis Ens" - å sende e-poster til Collins, og presset ham til å integrere Tans patcher i XZ Utils i et raskere tempo.
Personasene til Jigar Kumar og Dennis Ens økte gradvis presset på Collins, og ba ham til slutt legge til en annen vedlikeholder til prosjektet. Collins bekreftet på et tidspunkt sin interesse for å opprettholde prosjektet, men innrømmet å være begrenset av "langsiktige psykiske helseproblemer." Til slutt ga Collins etter for presset fra Kumar og Ens og ga Jia Tan tilgang til prosjektet og myndighet til å gjøre endringer i koden.
"Målet deres var å gi full tilgang til XZ Utils kildekode til Jia Tan og subtilt introdusere ondsinnet kode i XZ Utils," sa Kaspersky. "Identitetene samhandler til og med hverandre i e-posttråder, og klager over behovet for å erstatte Lasse Collin som XZ Utils-vedlikeholder." De forskjellige personene i angrepet - Jia Tan, Jigar Kumar og Dennis Ens - ser ut til å ha bevisst blitt laget for å se ut som om de kom fra forskjellige geografier, for å fjerne enhver tvil om deres samarbeid. En annen person, eller persona, Hans Jansen, dukket opp kort i juni 2023 med en ny ytelsesoptimaliseringskode for XZ Utils som endte opp med å bli integrert i verktøyet.
Et bredt utvalg av skuespillere
Jia Tan introduserte bakdør-binæren i verktøyet i februar 2024 etter å ha fått kontroll over XZ Util-vedlikeholdsoppgavene. Etter det dukket Jansen-karakteren opp igjen - sammen med to andre personas - som hver presset store Linux-distributører til å introdusere bakdørsverktøyet i distribusjonen deres, sa Kasperksy.
Det som ikke er helt klart er om angrepet involverte et lite team med skuespillere eller en enkelt person som klarte flere identiteter og manipulerte vedlikeholderen til å gi dem rett til å gjøre kodeendringer i prosjektet.
Kurt Baumgartner, hovedforsker ved Kasperskys globale forsknings- og analyseteam, sier til Dark Reading at ytterligere datakilder, inkludert innloggings- og nettflytdata, kan hjelpe til med å etterforske identitetene som er involvert i angrepet. "Verden med åpen kildekode er en vilt åpen verden," sier han, "som gjør det mulig for skumle identiteter å bidra med tvilsom kode til prosjekter som er store avhengigheter."
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.darkreading.com/application-security/attacker-social-engineered-backdoor-code-into-xz-utils
