В мире программирования открытого исходного кода, который славится своим сообществом и сотрудничеством, недавно произошло событие, способное подорвать доверие к целой экосистеме. Разработчик Microsoft Андрес Фройнд обнаружил заднюю дверь в утилите XZ Utils, широко используемой в различных приложениях на базе Linux. Это открытие предотвратило возможную масштабную кибератаку, которая могла затронуть миллионы компьютеров.
Задняя дверь была внедрена через так называемую атаку на цепочку поставок программного обеспечения. В данном случае, пользователь под псевдонимом Jia Tan, в течение нескольких лет заслужил доверие сообщества разработчиков XZ и в итоге получил права со-мейнтейнера проекта, что позволило ему вносить код без необходимости его утверждения.
«Я думаю, что несколько «зеленых» аккаунтов, которые, по-видимому, координируют свои действия для достижения конкретных целей в ключевые моменты, вписываются в схему использования сетей подставных учетных записей для социальной инженерии, которую мы наблюдаем во всех социальных сетях», — сказала Молли, системный администратор EFF. «Вполне возможно, что разработчики-мошенники, хакерская группа или государственный спонсор использовали эту тактику как часть своего плана по внедрению черного хода. Конечно, также возможно, что это просто совпадения».
Эта модель, по-видимому, соответствует тому, что на языке разведки известно как «управление персонами», практика создания и последующего поддержания нескольких фиктивных личностей. В просочившемся документе от оборонного подрядчика HBGary Federal описывается скрупулезность, которая может потребоваться для поддержания этих вымышленных личностей, включая создание сложного онлайн-следа — то, что решительно отсутствовало в учетных записях, участвующих в временной шкале XZ.
В то время как эти другие пользователи использовали разные адреса электронной почты, в некоторых случаях они использовали провайдеров, которые дают подсказки о том, когда были созданы их учетные записи. Например, когда они использовали учетные записи Proton Mail, ключи шифрования, связанные с этими учетными записями, создавались в тот же день или всего за несколько дней до первых сообщений пользователей в группе электронной почты. (Пользователи, однако, также могут создавать новые ключи, что означает, что адреса электронной почты могут быть более старыми, чем их текущие ключи.)
Один из первых пользователей в списке использовал имя Джигар Кумар. В апреле 2022 года Кумар появляется в списке рассылки разработчиков XZ, жалуясь на то, что некоторые функции инструмента сбивают с толку. Тан быстро отреагировал на комментарий. (Кумар не ответил на просьбу о комментарии.)
Кумар неоднократно появлялся с последующими жалобами, иногда на недовольстве других. После того, как Деннис Энс появился в том же списке рассылки, Энс также пожаловался на отсутствие ответа на одно из его сообщений. Коллин признал, что дела накапливались, и упомянул, что Тан помогал ему из списка; Возможно, в скором времени у него будет «более важная роль в XZ Utils». (Энс не ответил на просьбу о комментарии.)
После очередной жалобы от Кумара, призывающего к новому сопровождающему, Коллин ответил: «Я не потерял интерес, но моя способность заботиться о нем была довольно ограничена, в основном из-за долгосрочных проблем с психическим здоровьем, но также и из-за некоторых других вещей. Недавно я немного поработал с Цзя Танем над XZ Utils, и, возможно, у него будет более важная роль в будущем, посмотрим».
Тактика злоумышленника была изощренной и тщательной. Он выбрал программное обеспечение, которое широко используется в различных системах Linux, разработка которого велась небольшой командой с одним основным сопровождающим, Лассе Коллином. Используя недостаточное внимание к проекту со стороны Коллина, Tan внедрил заднюю дверь в утилиту.
Сотрудник Red Hat, компании-разработчика программного обеспечения, принадлежащей IBM, которая спонсирует и помогает поддерживать Fedora, еще одну популярную операционную систему Linux, рассказал, что Тан пытался убедить его помочь добавить скомпрометированный XZ Utils в Fedora.
Комплексное исследование вредоносного кода все еще продолжается, но уже ясно, что злоумышленник проявил высокий уровень технической квалификации и терпения, чтобы его план сработал. Это открытие стало серьезным напоминанием о важности безопасности в сфере программного обеспечения и потенциальной угрозе, которую представляют атаки на цепочку поставок.
Ситуация также высветила ряд вопросов, касающихся управления идентичностью и доверия в рамках сообщества разработчиков открытого исходного кода. В случае с XZ Utils, группа пользователей, появившаяся из ниоткуда, настаивала на ускорении обновлений программного обеспечения и введении нового со-мейнтейнера, что в итоге привело к внедрению задней двери.
Агентства США, включая Агентство кибербезопасности и инфраструктурной безопасности, уже выразили интерес к решению проблемы атак на цепочку поставок программного обеспечения. Случай с XZ Utils стал ярким примером того, как важно находиться на шаг впереди злоумышленников и защищать ключевые компоненты цифровой инфраструктуры.
1 00
