En motståndare behöver inte sofistikerade tekniska färdigheter för att utföra en bred mjukvaruförsörjningskedja som de som upplevs av SolarWinds och CodeCov. Ibland är allt som krävs är lite tid och genialisk social ingenjörskonst.
Det verkar ha varit fallet med den som introducerade en bakdörr i XZ använder öppen källkod för datakomprimering i Linux-system tidigare i år. Analys av händelsen från Kaspersky den här veckan, och liknande rapporter från andra de senaste dagarna, identifierade angriparen som att nästan helt förlitade sig på social manipulation för att skjut bakdörren in i verktyget.
Social Engineering, leveranskedjan för öppen källkod
Illavarslande kan det vara en modell som angripare använder för att glida in liknande skadlig programvara i andra allmänt använda projekt och komponenter med öppen källkod.
I en varning förra veckan varnade Open Source Security Foundation (OSSF) för att XZ Utils-attacken sannolikt inte är en isolerad incident. Den rådgivande identifierade minst ett annat fall där en motståndaren använde taktik liknande den som användes på XZ Utils att ta över OpenJS Foundation för JavaScript-projekt.
"OSSF och OpenJS Foundations uppmanar alla underhållare av öppen källkod att vara uppmärksamma på övertagandeförsök av social ingenjörskonst, att känna igen de tidiga hotmönster som dyker upp och att vidta åtgärder för att skydda sina projekt med öppen källkod", sa OSSF-varningen.
En utvecklare från Microsoft upptäckte bakdörren i nyare versioner av ett XZ-bibliotek som heter liblzma medan han undersökte konstigt beteende kring en Debianinstallation. Vid den tiden var det bara instabila och betaversioner av Fedora, Debian, Kali, openSUSE och Arch Linux-versioner som hade bakdörrsbiblioteket, vilket betyder att det praktiskt taget var ett icke-problem för de flesta Linux-användare.
Men sättet på vilket angriparen introducerade bakdörren är särskilt oroande, sa Kasperksy. "En av de viktigaste skillnaderna mellan SolarWinds-incidenten från tidigare attacker i leveranskedjan var motståndarens hemliga, långvariga tillgång till käll-/utvecklingsmiljön", sa Kaspersky. "I den här XZ Utils-incidenten erhölls denna förlängda åtkomst via social ingenjörskonst och utökades med fiktiva mänskliga identitetsinteraktioner i klarsynt."
En låg och långsam attack
Attacken tycks ha börjat i oktober 2021, när en person som använde handtaget "Jia Tan" skickade in en ofarlig patch till enmansprojektet XZ Utils. Under de närmaste veckorna och månaderna skickade Jia Tan-kontot flera liknande ofarliga patchar (beskrivs i detalj i detta tidslinje) till XZ Utils-projektet, som dess enda underhållare, en person vid namn Lasse Collins, så småningom började slås samman i verktyget.
Från och med april 2022 började ett par andra personas - en med handtaget "Jigar Kumar" och den andra "Dennis Ens" - skicka e-postmeddelanden till Collins och pressade honom att integrera Tans patchar i XZ Utils i en snabbare takt.
Jigar Kumar och Dennis Ens personas ökade gradvis trycket på Collins och bad honom så småningom lägga till ytterligare en underhållare till projektet. Collins bekräftade vid ett tillfälle sitt intresse av att upprätthålla projektet men erkände att han var begränsad av "långsiktiga psykiska problem". Så småningom gav Collins efter för trycket från Kumar och Ens och gav Jia Tan tillträde till projektet och befogenhet att göra ändringar i koden.
"Deras mål var att ge full åtkomst till XZ Utils källkod till Jia Tan och subtilt introducera skadlig kod i XZ Utils," sa Kaspersky. "Identiteterna interagerar till och med med varandra i e-posttrådar och klagar på behovet av att ersätta Lasse Collin som underhållare av XZ Utils." De olika personerna i attacken – Jia Tan, Jigar Kumar och Dennis Ens – verkar medvetet ha fåtts att se ut som om de kom från olika geografier, för att skingra alla tvivel om deras samverkan. En annan person, eller persona, Hans Jansen, dök upp kort i juni 2023 med en ny prestandaoptimeringskod för XZ Utils som slutade med att integreras i verktyget.
En bred skådespelare
Jia Tan introducerade bakdörrsbinären i verktyget i februari 2024 efter att ha fått kontroll över underhållsuppgifterna för XZ Util. Efter det dök Jansen-karaktären upp igen - tillsammans med två andra personas - som var och en pressade stora Linux-distributörer att introducera det bakdörrsverktyget i sin distribution, sa Kasperksy.
Vad som inte är helt klart är om attacken involverade ett litet team av skådespelare eller en enda individ som framgångsrikt hanterade flera identiteter och manipulerade underhållaren till att ge dem rätt att göra kodändringar i projektet.
Kurt Baumgartner, huvudforskare vid Kasperskys globala forsknings- och analysteam, säger till Dark Reading att ytterligare datakällor, inklusive inloggnings- och nätflödesdata, kan hjälpa till att undersöka identiteterna som är involverade i attacken. "Världen av öppen källkod är väldigt öppen", säger han, "som gör att skumma identiteter kan bidra med tvivelaktig kod till projekt som är stora beroenden."
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
- PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
- Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
- PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
- Källa: https://www.darkreading.com/application-security/attacker-social-engineered-backdoor-code-into-xz-utils
