Trí thông minh dữ liệu tạo

An ninh mạng

Mã backdoor được thiết kế theo mạng xã hội của kẻ tấn công vào các tiện ích của Xperia

Tái bản bởi Plato
Tái bản bởi Plato

Ngày:

Lượt xem: 0

Kẻ thù không cần các kỹ năng kỹ thuật phức tạp để thực hiện một cuộc tấn công chuỗi cung ứng phần mềm trên diện rộng như cuộc tấn công của SolarWinds và CodeCov. Đôi khi, tất cả chỉ cần một chút thời gian và kỹ thuật xã hội khéo léo.

Điều đó dường như đã xảy ra với bất kỳ ai đã giới thiệu cửa sau trong Tiện ích nén dữ liệu nguồn mở Xperia Utils trong các hệ thống Linux vào đầu năm nay. Phân tích sự cố từ Kaspersky trong tuần này và các báo cáo tương tự từ những người khác trong những ngày gần đây, đã xác định kẻ tấn công gần như dựa hoàn toàn vào thao túng xã hội để trượt cửa sau vào tiện ích.

Kỹ thuật xã hội Chuỗi cung ứng phần mềm nguồn mở

Điều đáng lo ngại là nó có thể là mô hình mà những kẻ tấn công đang sử dụng để đưa phần mềm độc hại tương tự vào các dự án và thành phần nguồn mở được sử dụng rộng rãi khác.

Trong một cảnh báo tuần trước, Tổ chức Bảo mật Nguồn Mở (OSSF) đã cảnh báo về cuộc tấn công của Xperia Utils có thể không phải là một sự cố riêng lẻ. Lời khuyên đã xác định ít nhất một trường hợp khác trong đó một đối thủ sử dụng chiến thuật tương tự như chiến thuật được sử dụng trên Xperia Utils để tiếp quản OpenJS Foundation cho các dự án JavaScript.

“Tổ chức OSSF và OpenJS đang kêu gọi tất cả các nhà bảo trì nguồn mở cảnh giác với các nỗ lực tiếp quản kỹ thuật xã hội, nhận ra các mô hình mối đe dọa sớm đang xuất hiện và thực hiện các bước để bảo vệ các dự án nguồn mở của họ”, cảnh báo OSSF cho biết.

Một nhà phát triển của Microsoft đã phát hiện ra cửa sau trong các phiên bản mới hơn của thư viện Xperia có tên liblzma khi đang điều tra hành vi kỳ lạ xung quanh quá trình cài đặt Debian. Vào thời điểm đó, chỉ các phiên bản beta và không ổn định của Fedora, Debian, Kali, openSUSE và Arch Linux mới có thư viện cửa sau, nghĩa là nó hầu như không phải là vấn đề đối với hầu hết người dùng Linux.

Nhưng cách kẻ tấn công tạo ra cửa sau đặc biệt đáng lo ngại, Kasperksy nói. Kaspersky cho biết: “Một trong những điểm khác biệt chính của sự cố SolarWinds với các cuộc tấn công chuỗi cung ứng trước đó là khả năng truy cập bí mật, kéo dài của đối thủ vào môi trường nguồn/phát triển”. “Trong sự cố của Xperia Utils này, quyền truy cập kéo dài này có được thông qua kỹ thuật xã hội và được mở rộng bằng các tương tác giả định về danh tính con người một cách rõ ràng.”

Một cuộc tấn công thấp và chậm

Cuộc tấn công dường như đã bắt đầu vào tháng 2021 năm XNUMX, khi một cá nhân sử dụng tên hiệu “Jia Tan” gửi một bản vá vô hại cho dự án một người dùng Xperia ZUtils. Trong vài tuần và tháng tiếp theo, tài khoản Jia Tan đã gửi nhiều bản vá vô hại tương tự (được mô tả chi tiết trong phần này). timeline) cho dự án XX Utils, mà người duy trì duy nhất của nó, một cá nhân tên là Lasse Collins, cuối cùng đã bắt đầu sáp nhập vào tiện ích này.

Bắt đầu từ tháng 2022 năm XNUMX, một vài nhân vật khác — một người sử dụng tên khác là “Jigar Kumar” và người còn lại là “Dennis Ens” — bắt đầu gửi email cho Collins, gây áp lực buộc anh phải tích hợp các bản vá của Tan vào Hz ​​Utils với tốc độ nhanh hơn.

Các nhân vật Jigar Kumar và Dennis Ens dần dần gây áp lực lên Collins, cuối cùng yêu cầu anh thêm một người bảo trì khác vào dự án. Collins đã có lúc tái khẳng định sự quan tâm của mình đến việc duy trì dự án nhưng thú nhận bị hạn chế bởi “các vấn đề sức khỏe tâm thần lâu dài”. Cuối cùng, Collins không chịu nổi áp lực từ Kumar và Ens và trao cho Jia Tan quyền truy cập vào dự án cũng như quyền thực hiện các thay đổi đối với mã.

Kaspersky cho biết: “Mục tiêu của họ là cấp quyền truy cập đầy đủ vào mã nguồn Xperia Utils cho Jia Tan và tinh vi đưa mã độc vào Xperia Utils”. “Các danh tính thậm chí còn tương tác với nhau trên các chuỗi thư, phàn nàn về sự cần thiết phải thay thế Lasse Collin làm người bảo trì Xperia Z Utils.” Các nhân vật khác nhau trong cuộc tấn công – Jia Tan, Jigar Kumar và Dennis Ens – dường như đã được cố tình tạo ra để trông giống như họ đến từ các khu vực địa lý khác nhau, để xóa tan mọi nghi ngờ về việc họ làm việc cùng nhau. Một cá nhân hoặc nhân vật khác, Hans Jansen, xuất hiện trong thời gian ngắn vào tháng 2023 năm XNUMX với một số mã tối ưu hóa hiệu suất mới cho Xperia Utils và cuối cùng đã được tích hợp vào tiện ích.

Dàn diễn viên đa dạng

Jia Tan đã đưa hệ nhị phân cửa sau vào tiện ích này vào tháng 2024 năm XNUMX sau khi giành được quyền kiểm soát các nhiệm vụ bảo trì Hz Util. Sau đó, nhân vật Jansen tái xuất hiện - cùng với hai nhân vật khác - mỗi nhân vật đều gây áp lực buộc các nhà phân phối Linux lớn phải đưa tiện ích cửa sau vào bản phân phối của họ, Kasperksy cho biết.

Điều chưa hoàn toàn rõ ràng là liệu cuộc tấn công có liên quan đến một nhóm nhỏ các tác nhân hay một cá nhân đã quản lý thành công nhiều vụ tấn công hay không. danh tính và thao túng người bảo trì để trao cho họ quyền thực hiện các thay đổi mã đối với dự án.

Kurt Baumgartner, nhà nghiên cứu chính tại nhóm nghiên cứu và phân tích toàn cầu của Kaspersky, nói với Dark Reading rằng các nguồn dữ liệu bổ sung, bao gồm dữ liệu đăng nhập và luồng mạng, có thể giúp hỗ trợ điều tra danh tính liên quan đến cuộc tấn công. Ông nói: “Thế giới nguồn mở là một thế giới cực kỳ cởi mở, “cho phép các danh tính mờ ám đóng góp mã có vấn đề cho các dự án phụ thuộc lớn”.

tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.

Trò chuyện trực tiếp với chúng tôi (chat)

Chào bạn! Làm thế nào để tôi giúp bạn?