Przeciwnik nie potrzebuje wyrafinowanych umiejętności technicznych, aby przeprowadzić atak na szeroki łańcuch dostaw oprogramowania, taki jak ten, którego doświadczają SolarWinds i CodeCov. Czasami wystarczy trochę czasu i pomysłowa inżynieria społeczna.
Wydaje się, że tak było w przypadku każdego, kto wprowadził backdoora w systemie XZ Utils narzędzie do kompresji danych typu open source w systemach Linux na początku tego roku. Analiza zdarzenia z Kaspersky w tym tygodniu oraz podobne raporty innych osób z ostatnich dni zidentyfikowały osobę atakującą jako osobę, która niemal wyłącznie polegała na manipulacji społecznej wsunąć tylne drzwi w narzędzie.
Inżynieria społeczna łańcucha dostaw oprogramowania open source
Co złowieszcze, może to być model używany przez osoby atakujące do umieszczania podobnego złośliwego oprogramowania w innych powszechnie używanych projektach i komponentach typu open source.
W zeszłym tygodniu w alercie Open Source Security Foundation (OSSF) ostrzegła, że atak na XZ Utils prawdopodobnie nie jest odosobnionym przypadkiem. W poradniku wskazano co najmniej jeden inny przypadek, w którym: przeciwnik zastosował taktykę podobną do tej zastosowanej w XZ Utils przejęcie OpenJS Foundation dla projektów JavaScript.
„Fundacje OSSF i OpenJS wzywają wszystkich opiekunów oprogramowania open source, aby zachowywali czujność w przypadku prób przejęcia socjotechniki, rozpoznawali pojawiające się wzorce zagrożeń i podejmowali kroki w celu ochrony swoich projektów open source” – czytamy w ostrzeżeniu OSSF.
Programista z firmy Microsoft odkrył backdoora w nowszych wersjach biblioteki XZ o nazwie liblzma, badając dziwne zachowanie wokół instalacji Debiana. W tamtym czasie tylko wersje niestabilne i beta Fedory, Debiana, Kali, openSUSE i Arch Linux posiadały bibliotekę z backdoorem, co oznaczało, że dla większości użytkowników Linuksa praktycznie nie stanowiło to problemu.
Jednak sposób, w jaki atakujący wprowadził backdoora, jest szczególnie niepokojący, stwierdził Kasperksy. „Jedną z kluczowych cech odróżniających incydent SolarWinds od wcześniejszych ataków na łańcuch dostaw był ukryty, przedłużony dostęp przeciwnika do źródła/środowiska programistycznego” – powiedział Kaspersky. „W tym incydencie z XZ Utils ten przedłużony dostęp uzyskano za pomocą inżynierii społecznej i rozszerzono o fikcyjne interakcje związane z tożsamością ludzką na widoku”.
Niski i powolny atak
Wygląda na to, że atak rozpoczął się w październiku 2021 r., kiedy osoba posługująca się pseudonimem „Jia Tan” przesłała nieszkodliwą łatkę do jednoosobowego projektu XZ Utils. W ciągu następnych kilku tygodni i miesięcy konto Jia Tan przesłało wiele podobnych nieszkodliwych poprawek (opisanych szczegółowo w tym Oś czasu) do projektu XZ Utils, którego jedyny opiekun, osoba o nazwisku Lasse Collins, ostatecznie zaczął łączyć się z przedsiębiorstwem użyteczności publicznej.
Od kwietnia 2022 r. kilka innych osób – jedna używająca pseudonimu „Jigar Kumar” i druga „Dennis Ens” – zaczęło wysyłać e-maile do Collinsa, naciskając na niego, aby szybciej zintegrował poprawki Tana z XZ Utils.
Osoby Jigar Kumar i Dennis Ens stopniowo zwiększały presję na Collinsa, ostatecznie prosząc go o dodanie do projektu kolejnego opiekuna. Collins w pewnym momencie potwierdził swoje zainteresowanie utrzymaniem projektu, ale przyznał, że ograniczają go „długoterminowe problemy ze zdrowiem psychicznym”. Ostatecznie Collins uległ naciskom Kumara i Ensa i dał Jia Tan dostęp do projektu oraz uprawnienia do wprowadzania zmian w kodzie.
„Ich celem było zapewnienie Jia Tan pełnego dostępu do kodu źródłowego XZ Utils i subtelne wprowadzenie szkodliwego kodu do XZ Utils” – powiedział Kaspersky. „Tożsamości komunikują się ze sobą nawet w wątkach pocztowych, narzekając na potrzebę zastąpienia Lasse Collina na stanowisku opiekuna XZ Utils”. Wygląda na to, że różne osoby biorące udział w ataku – Jia Tan, Jigar Kumar i Dennis Ens – zostały celowo upodobnione do wyglądu, jakby pochodziły z różnych miejsc geograficznych, aby rozwiać wszelkie wątpliwości co do ich wspólnej pracy. Inna osoba lub osoba, Hans Jansen, pojawiła się na krótko w czerwcu 2023 r. z nowym kodem optymalizacji wydajności dla XZ Utils, który ostatecznie został zintegrowany z narzędziem.
Szeroka obsada aktorów
Jia Tan wprowadziła plik binarny backdoora do narzędzia w lutym 2024 r., po przejęciu kontroli nad zadaniami konserwacyjnymi XZ Util. Następnie postać Jansena powróciła na światło dzienne — wraz z dwiema innymi osobami — każda z nich wywierała presję na głównych dystrybutorach Linuksa, aby wprowadzili narzędzie z backdoorem do swojej dystrybucji, powiedział Kasperksy.
Nie jest do końca jasne, czy w ataku brał udział mały zespół aktorów, czy też pojedyncza osoba, której udało się przeprowadzić kilka z nich tożsamości i zmanipulował opiekuna, aby dał mu prawo do wprowadzania zmian w kodzie projektu.
Kurt Baumgartner, główny badacz w globalnym zespole badawczo-analitycznym firmy Kaspersky, mówi Dark Reading, że dodatkowe źródła danych, w tym dane dotyczące logowania i przepływu sieci, mogą pomóc w badaniu tożsamości objętych atakiem. „Świat otwartego oprogramowania jest szalenie otwarty” – mówi – „umożliwiając niejasnym tożsamościom wnoszenie wątpliwego kodu do projektów, które są głównymi zależnościami”.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- Źródło: https://www.darkreading.com/application-security/attacker-social-engineered-backdoor-code-into-xz-utils
