Un adversar nu are nevoie de abilități tehnice sofisticate pentru a executa un atac amplu al lanțului de aprovizionare cu software, precum cele experimentate de SolarWinds și CodeCov. Uneori, este nevoie doar de puțin timp și de inginerie socială ingenioasă.
Acesta pare să fi fost cazul celui care a introdus o ușă din spate în Utilitar de comprimare a datelor XZ Utils open source în sistemele Linux la începutul acestui an. Analiza incidentului de la Kaspersky săptămâna aceasta și rapoarte similare ale altora din ultimele zile, au identificat atacatorul ca se bazează aproape în întregime pe manipularea socială pentru strecurați ușa din spate în utilitate.
Inginerie socială Lanțul de aprovizionare cu software cu sursă deschisă
În mod amenințător, poate fi un model pe care atacatorii îl folosesc pentru a introduce malware similar în alte proiecte și componente open source utilizate pe scară largă.
Într-o alertă de săptămâna trecută, Open Source Security Foundation (OSSF) a avertizat că atacul XZ Utils probabil nu este un incident izolat. Avizul a identificat cel puțin un alt caz în care un adversarul a folosit tactici similare cu cea folosită pe XZ Utils pentru a prelua Fundația OpenJS pentru proiecte JavaScript.
„Fundațiile OSSF și OpenJS îi cheamă pe toți întreținerii open source să fie atenți la încercările de preluare a ingineriei sociale, să recunoască tiparele timpurii de amenințări care apar și să ia măsuri pentru a-și proteja proiectele open source”, se arată în alerta OSSF.
Un dezvoltator de la Microsoft a descoperit ușa din spate în versiunile mai noi ale unei biblioteci XZ numită liblzma în timp ce investiga comportamentul ciudat în jurul unei instalări Debian. La acea vreme, numai versiunile instabile și beta ale versiunilor Fedora, Debian, Kali, openSUSE și Arch Linux aveau biblioteca cu ușă în spate, ceea ce înseamnă că era practic o problemă pentru majoritatea utilizatorilor Linux.
Dar modul în care atacatorul a introdus ușa din spate este deosebit de îngrijorător, a spus Kasperksy. „Unul dintre principalele diferențieri ale incidentului SolarWinds față de atacurile anterioare ale lanțului de aprovizionare a fost accesul ascuns și prelungit al adversarului la mediul sursă/dezvoltare”, a spus Kaspersky. „În acest incident XZ Utils, acest acces prelungit a fost obținut prin inginerie socială și extins cu interacțiuni fictive de identitate umană la vedere.”
Un atac scăzut și lent
Atacul pare să fi început în octombrie 2021, când o persoană care folosea mânerul „Jia Tan” a trimis un patch inofensiv proiectului XZ Utils pentru o singură persoană. În următoarele câteva săptămâni și luni, contul Jia Tan a trimis mai multe patch-uri similare inofensive (descrise în detaliu în acest cronologie) la proiectul XZ Utils, pe care singurul său întreținător, o persoană pe nume Lasse Collins, a început în cele din urmă să fuzioneze în utilitate.
Începând din aprilie 2022, alte două persoane – una folosind mânerul „Jigar Kumar” și cealaltă „Dennis Ens” – au început să trimită e-mailuri către Collins, presându-l să integreze patch-urile lui Tan în XZ Utils într-un ritm mai rapid.
Personajele Jigar Kumar și Dennis Ens au crescut treptat presiunea asupra lui Collins, cerându-i în cele din urmă să adauge un alt menținător la proiect. Collins și-a reafirmat la un moment dat interesul pentru menținerea proiectului, dar a mărturisit că este constrâns de „probleme de sănătate mintală pe termen lung”. În cele din urmă, Collins a cedat presiunii din partea lui Kumar și Ens și i-a dat lui Jia Tan acces la proiect și autoritatea de a face modificări la cod.
„Scopul lor a fost să acorde acces complet la codul sursă XZ Utils lui Jia Tan și să introducă subtil cod rău intenționat în XZ Utils”, a spus Kaspersky. „Identitățile chiar interacționează între ele pe firele de e-mail, plângându-se de necesitatea înlocuirii lui Lasse Collin ca întreținător XZ Utils.” Diferitele persoane din atac - Jia Tan, Jigar Kumar și Dennis Ens - par să fi fost făcute în mod deliberat să arate ca și cum ar fi din diferite geografii, pentru a risipi orice îndoială cu privire la lucrul lor în concert. O altă persoană sau persoană, Hans Jansen, a apărut pentru scurt timp în iunie 2023 cu un nou cod de optimizare a performanței pentru XZ Utils, care a ajuns să fie integrat în utilitar.
O distribuție largă de actori
Jia Tan a introdus binarul backdoor în utilitar în februarie 2024, după ce a câștigat controlul asupra sarcinilor de întreținere XZ Util. După aceea, personajul Jansen a reapărut – împreună cu alte două persoane – fiecare făcând presiuni pe distribuitorii majori de Linux să introducă utilitarul backdoored în distribuția lor, a spus Kasperksy.
Ceea ce nu este complet clar este dacă atacul a implicat o echipă mică de actori sau o singură persoană care a gestionat cu succes mai multe identități și a manipulat întreținătorul pentru a le oferi dreptul de a face modificări de cod în proiect.
Kurt Baumgartner, cercetător principal la echipa globală de cercetare și analiză a Kaspersky, a declarat pentru Dark Reading că surse de date suplimentare, inclusiv date de conectare și netflow, ar putea ajuta la investigarea identităților implicate în atac. „Lumea open source este una extrem de deschisă”, spune el, „permițând identităților tulburi să contribuie cu cod îndoielnic la proiecte care sunt dependențe majore”.
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
- PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
- PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
- PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
- Sursa: https://www.darkreading.com/application-security/attacker-social-engineered-backdoor-code-into-xz-utils
