ฝ่ายตรงข้ามไม่ต้องการทักษะทางเทคนิคที่ซับซ้อนในการดำเนินการโจมตีห่วงโซ่อุปทานซอฟต์แวร์ในวงกว้าง เช่นเดียวกับที่ SolarWinds และ CodeCov ประสบ บางครั้ง เพียงแค่ใช้เวลาเพียงเล็กน้อยและวิศวกรรมสังคมอันชาญฉลาดเท่านั้น

ดูเหมือนว่าจะเป็นเช่นนั้นกับใครก็ตามที่แนะนำประตูหลังใน XZ Utils ยูทิลิตี้การบีบอัดข้อมูลโอเพ่นซอร์ส ในระบบ Linux เมื่อต้นปีนี้ วิเคราะห์เหตุการณ์ จาก Kaspersky ในสัปดาห์นี้ และรายงานที่คล้ายกันจากผู้อื่นในช่วงไม่กี่วันที่ผ่านมา ระบุว่าผู้โจมตีอาศัยการบงการทางสังคมเกือบทั้งหมด ลื่นประตูหลัง เข้าไปในยูทิลิตี้

วิศวกรรมสังคม ห่วงโซ่อุปทานซอฟต์แวร์โอเพ่นซอร์ส

น่าแปลกที่อาจเป็นโมเดลที่ผู้โจมตีใช้เพื่อส่งมัลแวร์ที่คล้ายกันไปยังโครงการและส่วนประกอบโอเพ่นซอร์สอื่นๆ ที่ใช้กันอย่างแพร่หลาย

ในการแจ้งเตือนเมื่อสัปดาห์ที่แล้ว Open Source Security Foundation (OSSF) เตือนว่าการโจมตี XZ Utils น่าจะไม่ใช่เหตุการณ์ที่เกิดขึ้นเดี่ยวๆ คำแนะนำระบุอย่างน้อยหนึ่งกรณีอื่นที่ ฝ่ายตรงข้ามใช้กลยุทธ์คล้ายกับที่ใช้กับ XZ Utils เพื่อเข้าควบคุม OpenJS Foundation สำหรับโครงการ JavaScript

“มูลนิธิ OSSF และ OpenJS กำลังเรียกร้องให้ผู้ดูแลโอเพ่นซอร์สทั้งหมดตื่นตัวต่อความพยายามในการครอบครองวิศวกรรมสังคม เพื่อรับรู้รูปแบบภัยคุกคามที่เกิดขึ้นในระยะแรก และให้ดำเนินการเพื่อปกป้องโครงการโอเพ่นซอร์สของพวกเขา” การแจ้งเตือน OSSF กล่าว

นักพัฒนาจาก Microsoft ค้นพบแบ็คดอร์ในไลบรารี XZ เวอร์ชันใหม่ที่เรียกว่า liblzma ในขณะที่ตรวจสอบพฤติกรรมแปลก ๆ เกี่ยวกับการติดตั้ง Debian ในเวลานั้น เฉพาะรุ่น Fedora, Debian, Kali, openSUSE และ Arch Linux ที่ไม่เสถียรและเป็นรุ่นเบต้าเท่านั้นที่มีไลบรารีแบ็คดอร์ ซึ่งหมายความว่าแทบไม่เป็นปัญหาสำหรับผู้ใช้ Linux ส่วนใหญ่

แต่ลักษณะที่ผู้โจมตีแนะนำประตูหลังนั้นน่าหนักใจเป็นพิเศษ Kasperksy กล่าว “หนึ่งในความแตกต่างที่สำคัญของเหตุการณ์ SolarWinds จากการโจมตีห่วงโซ่อุปทานครั้งก่อนคือการที่ฝ่ายตรงข้ามแอบแฝง การเข้าถึงสภาพแวดล้อมแหล่งที่มา/การพัฒนาเป็นเวลานาน” Kaspersky กล่าว “ในเหตุการณ์ XZ Utils นี้ การเข้าถึงที่ยืดเยื้อนี้ได้มาผ่านทางวิศวกรรมสังคม และขยายออกไปด้วยการมีปฏิสัมพันธ์กับอัตลักษณ์ของมนุษย์ที่สมมติขึ้นอย่างชัดเจน”

การโจมตีที่ต่ำและช้า

การโจมตีดูเหมือนจะเริ่มขึ้นในเดือนตุลาคม 2021 เมื่อบุคคลที่ใช้นามแฝง “Jia Tan” ส่งแพตช์ที่ไม่เป็นอันตรายไปยังโครงการ XZ Utils สำหรับบุคคลคนเดียว ในอีกไม่กี่สัปดาห์และเดือนข้างหน้า บัญชี Jia Tan ได้ส่งแพตช์ที่ไม่เป็นอันตรายที่คล้ายกันหลายรายการ (อธิบายรายละเอียดในบทความนี้ ไทม์ไลน์) ไปยังโครงการ XZ Utils ซึ่งเป็นผู้ดูแลแต่เพียงผู้เดียว ซึ่งเป็นบุคคลที่ชื่อ Lasse Collins ในที่สุดก็เริ่มรวมเข้ากับยูทิลิตี้นี้

ตั้งแต่เดือนเมษายน 2022 เป็นต้นไป บุคคลอีกสองสามราย คนหนึ่งใช้ชื่อ "Jigar Kumar" และอีกคนหนึ่ง "Dennis Ens" เริ่มส่งอีเมลถึง Collins โดยกดดันให้เขารวมแพตช์ของ Tan เข้ากับ XZ Utils อย่างรวดเร็ว

บุคลิกของ Jigar Kumar และ Dennis Ens ค่อยๆ เพิ่มแรงกดดันให้กับ Collins และในที่สุดก็ขอให้เขาเพิ่มผู้ดูแลอีกคนให้กับโปรเจ็กต์นี้ จนถึงจุดหนึ่งคอลลินส์ยืนยันอีกครั้งถึงความสนใจของเขาในการรักษาโครงการนี้ แต่สารภาพว่าถูกจำกัดโดย "ปัญหาสุขภาพจิตในระยะยาว" ในที่สุด Collins ก็ยอมจำนนต่อแรงกดดันจาก Kumar และ Ens และให้ Jia Tan เข้าถึงโครงการและมีอำนาจในการเปลี่ยนแปลงรหัส

“เป้าหมายของพวกเขาคือการให้สิทธิ์การเข้าถึงซอร์สโค้ด XZ Utils อย่างเต็มที่แก่ Jia Tan และแนะนำโค้ดที่เป็นอันตรายอย่างละเอียดใน XZ Utils” Kaspersky กล่าว “ข้อมูลประจำตัวยังโต้ตอบกันบนเธรดเมล โดยบ่นเกี่ยวกับความจำเป็นในการเปลี่ยน Lasse Collin เป็นผู้ดูแล XZ Utils” บุคลิกที่แตกต่างกันในการโจมตี ได้แก่ Jia Tan, Jigar Kumar และ Dennis Ens ดูเหมือนจะจงใจทำให้ดูเหมือนว่าพวกเขามาจากภูมิศาสตร์ที่แตกต่างกัน เพื่อขจัดข้อสงสัยเกี่ยวกับการทำงานในคอนเสิร์ตของพวกเขา Hans Jansen บุคคลหรือบุคคลอีกรายหนึ่งปรากฏขึ้นในช่วงสั้นๆ ในเดือนมิถุนายน 2023 พร้อมกับโค้ดเพิ่มประสิทธิภาพการทำงานใหม่สำหรับ XZ Utils ซึ่งท้ายที่สุดก็ถูกรวมเข้ากับยูทิลิตี้นี้

นักแสดงมากมาย

Jia Tan เปิดตัวไบนารีลับๆ ให้กับยูทิลิตี้นี้ในเดือนกุมภาพันธ์ 2024 หลังจากได้รับการควบคุมงานบำรุงรักษา XZ Util หลังจากนั้น ตัวละคร Jansen ก็กลับมาปรากฏตัวอีกครั้ง พร้อมกับบุคลิกอีกสองคน โดยแต่ละคนกดดันผู้จัดจำหน่าย Linux รายใหญ่ให้แนะนำยูทิลิตี้แบ็คดอร์ในการจำหน่าย Kasperksy กล่าว

สิ่งที่ไม่ชัดเจนนักคือการโจมตีเกี่ยวข้องกับนักแสดงกลุ่มเล็กๆ หรือบุคคลเดียวที่จัดการหลายคนได้สำเร็จ ข้อมูลประจำตัวและจัดการผู้ดูแลเพื่อให้สิทธิ์ในการเปลี่ยนแปลงโค้ดในโปรเจ็กต์

Kurt Baumgartner นักวิจัยหลักของทีมวิจัยและวิเคราะห์ระดับโลกของ Kaspersky บอกกับ Dark Reading ว่าแหล่งข้อมูลเพิ่มเติม รวมถึงข้อมูลการเข้าสู่ระบบและข้อมูล netflow สามารถช่วยในการตรวจสอบตัวตนที่เกี่ยวข้องกับการโจมตีได้ “โลกของโอเพ่นซอร์สเป็นโลกที่เปิดกว้างมาก” เขากล่าว “ทำให้ตัวตนที่คลุมเครือสามารถสนับสนุนโค้ดที่น่าสงสัยให้กับโปรเจ็กต์ที่ต้องพึ่งพาหลัก”

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
• เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
• เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
• เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
• ที่มา: https://www.darkreading.com/application-security/attacker-social-engineered-backdoor-code-into-xz-utils