Зловмиснику не потрібні складні технічні навички, щоб здійснити широку атаку на ланцюжок постачання програмного забезпечення, подібну до тих, які зазнали SolarWinds і CodeCov. Іноді для цього потрібно лише трохи часу та геніальна соціальна інженерія.
Схоже, що так було з тим, хто ввів бекдор у Утиліта для стиснення даних з відкритим кодом XZ Utils у системах Linux на початку цього року. Розбір інциденту від Касперського цього тижня та подібні звіти від інших за останні дні встановили, що зловмисник майже повністю покладається на соціальні маніпуляції, щоб прослизнути задні двері в утиліту.
Соціальна інженерія ланцюга постачання програмного забезпечення з відкритим кодом
Зловісно, але це може бути модель, яку зловмисники використовують, щоб підсунути подібне шкідливе програмне забезпечення в інші широко використовувані проекти та компоненти з відкритим кодом.
У попередженні минулого тижня Фонд безпеки відкритого коду (OSSF) попередив, що атака XZ Utils, ймовірно, не є поодиноким інцидентом. Консультація виявила принаймні ще один випадок, коли ан супротивник застосував тактику, подібну до тієї, що використовується на XZ Utils прийняти OpenJS Foundation для проектів JavaScript.
«Фонди OSSF і OpenJS закликають усіх супроводжувачів відкритого коду бути обережними щодо спроб захоплення соціальної інженерії, розпізнавати ранні шаблони загроз і вживати заходів для захисту своїх проектів з відкритим кодом», — йдеться в повідомленні OSSF.
Розробник із Microsoft виявив бекдор у нових версіях бібліотеки XZ під назвою liblzma, досліджуючи дивну поведінку навколо встановлення Debian. У той час лише нестабільні та бета-версії версій Fedora, Debian, Kali, openSUSE та Arch Linux мали бекдорну бібліотеку, тобто для більшості користувачів Linux вона практично не була проблемою.
Але спосіб, у який зловмисник ввів бекдор, викликає особливе занепокоєння, сказав Касперський. «Однією з ключових відмінностей інциденту SolarWinds від попередніх атак на ланцюг постачання був прихований тривалий доступ зловмисника до джерела/середовища розробки», — сказав Касперський. «У цьому інциденті XZ Utils цей тривалий доступ було отримано за допомогою соціальної інженерії та розширено за допомогою взаємодії фіктивної особистості людини на відкритому повітрі».
Низька і повільна атака
Схоже, що атака почалася в жовтні 2021 року, коли особа, яка використовує дескриптор «Jia Tan», подала нешкідливий патч для проекту XZ Utils для однієї особи. Протягом наступних кількох тижнів і місяців обліковий запис Jia Tan надсилав кілька подібних нешкідливих виправлень (докладно описано в цьому Терміни) до проекту XZ Utils, єдиний супроводжувач якого, особа на ім’я Лассе Коллінз, зрештою почав об’єднувати в утиліту.
Починаючи з квітня 2022 року, кілька інших персонажів — один із псевдонімом «Джигар Кумар», а інший — «Денніс Енс» — почали надсилати електронні листи Коллінзу, вимагаючи від нього швидше інтегрувати патчі Тана в XZ Utils.
Персони Джигара Кумара та Денніса Енса поступово посилювали тиск на Коллінза, зрештою попросивши його додати до проекту ще одного супроводжуючого. Одного разу Коллінз підтвердив свою зацікавленість у підтримці проекту, але зізнався, що його стримують «довгострокові проблеми з психічним здоров’ям». Зрештою Коллінз піддався тиску Кумара та Енса і надав Джіа Тану доступ до проекту та повноваження вносити зміни до коду.
«Їхньою метою було надати Jia Tan повний доступ до вихідного коду XZ Utils і непомітно впровадити шкідливий код у XZ Utils», — сказав Касперський. «Ідентифікатори навіть взаємодіють один з одним у поштових потоках, скаржачись на необхідність замінити Лассе Колліна на посаді супроводжуючого XZ Utils». Різні персони в атаці — Цзя Тан, Джигар Кумар і Денніс Енс — здається, були навмисно створені так, ніби вони були з різних країн, щоб розвіяти будь-які сумніви щодо їхньої спільної роботи. У червні 2023 року на короткий час з’явилася ще одна людина або персона, Ганс Янсен, з новим кодом оптимізації продуктивності для XZ Utils, який зрештою було інтегровано в утиліту.
Широкий акторський склад
Цзя Тан представив бекдор-двійковий файл в утиліті в лютому 2024 року після отримання контролю над завданнями обслуговування XZ Util. Після цього знову з’явився персонаж Янсена — разом із двома іншими персонажами — кожен з яких чинив тиск на великих дистриб’юторів Linux, щоб вони впровадили бекдорну утиліту у свій дистрибутив, сказав Касперський.
Не зовсім зрозуміло, чи була в атаці задіяна невелика команда акторів чи одна особа, яка успішно керувала кількома особи та маніпулював супроводжуючим, щоб надати їм право вносити зміни в код проекту.
Курт Баумгартнер, головний науковий співробітник глобальної дослідницької та аналітичної групи Kaspersky, каже Dark Reading, що додаткові джерела даних, зокрема дані про вхід і мережевий поток, можуть допомогти у розслідуванні осіб, залучених до атаки. «Світ відкритого вихідного коду надзвичайно відкритий, — каже він, — що дозволяє невідомим особам вносити сумнівний код у проекти, які є основними залежними».
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/application-security/attacker-social-engineered-backdoor-code-into-xz-utils
