Ένας αντίπαλος δεν χρειάζεται εξελιγμένες τεχνικές δεξιότητες για να εκτελέσει μια επίθεση ευρείας αλυσίδας εφοδιασμού λογισμικού, όπως αυτές που βιώνουν οι SolarWinds και CodeCov. Μερικές φορές, το μόνο που χρειάζεται είναι λίγος χρόνος και έξυπνη κοινωνική μηχανική.
Αυτό φαίνεται ότι συνέβη με όποιον εισήγαγε μια κερκόπορτα στο Βοηθητικό πρόγραμμα συμπίεσης δεδομένων ανοιχτού κώδικα XZ Utils σε συστήματα Linux νωρίτερα φέτος. Ανάλυση του περιστατικού από την Kaspersky αυτή την εβδομάδα, και παρόμοιες αναφορές από άλλους τις τελευταίες ημέρες, εντόπισαν ότι ο εισβολέας βασιζόταν σχεδόν εξ ολοκλήρου στην κοινωνική χειραγώγηση γλιστρήστε την πίσω πόρτα στο βοηθητικό πρόγραμμα.
Κοινωνική Μηχανική η Εφοδιαστική Αλυσίδα Λογισμικού Ανοικτού Κώδικα
Δυστυχώς, μπορεί να είναι ένα μοντέλο που χρησιμοποιούν οι εισβολείς για να διολισθήσουν παρόμοιο κακόβουλο λογισμικό σε άλλα ευρέως χρησιμοποιούμενα έργα ανοιχτού κώδικα και στοιχεία.
Σε μια προειδοποίηση την περασμένη εβδομάδα, το Open Source Security Foundation (OSSF) προειδοποίησε ότι η επίθεση XZ Utils πιθανότατα δεν είναι ένα μεμονωμένο περιστατικό. Η συμβουλευτική εντόπισε τουλάχιστον μία άλλη περίπτωση όπου α Ο αντίπαλος χρησιμοποίησε τακτικές παρόμοιες με αυτή που χρησιμοποιήθηκε στο XZ Utils να αναλάβει το OpenJS Foundation για έργα JavaScript.
«Το OSSF και το OpenJS Foundations καλούν όλους τους συντηρητές ανοιχτού κώδικα να είναι σε εγρήγορση για απόπειρες εξαγοράς κοινωνικής μηχανικής, να αναγνωρίσουν τα πρώιμα μοτίβα απειλών που εμφανίζονται και να λάβουν μέτρα για την προστασία των έργων ανοιχτού κώδικα τους», ανέφερε η προειδοποίηση OSSF.
Ένας προγραμματιστής από τη Microsoft ανακάλυψε την κερκόπορτα σε νεότερες εκδόσεις μιας βιβλιοθήκης XZ που ονομάζεται liblzma, ενώ διερεύνησε την περίεργη συμπεριφορά γύρω από μια εγκατάσταση του Debian. Εκείνη την εποχή, μόνο οι ασταθείς εκδόσεις και οι εκδόσεις beta των εκδόσεων Fedora, Debian, Kali, openSUSE και Arch Linux είχαν την backdoored βιβλιοθήκη, πράγμα που σημαίνει ότι δεν ήταν ουσιαστικά πρόβλημα για τους περισσότερους χρήστες Linux.
Αλλά ο τρόπος με τον οποίο ο εισβολέας παρουσίασε την κερκόπορτα είναι ιδιαίτερα ανησυχητικός, είπε ο Kasperksy. «Ένας από τους βασικούς παράγοντες που διαφοροποιούν το περιστατικό της SolarWinds από προηγούμενες επιθέσεις στην αλυσίδα εφοδιασμού ήταν η κρυφή, παρατεταμένη πρόσβαση του αντιπάλου στο περιβάλλον πηγής/ανάπτυξης», είπε η Kaspersky. «Σε αυτό το περιστατικό XZ Utils, αυτή η παρατεταμένη πρόσβαση αποκτήθηκε μέσω κοινωνικής μηχανικής και επεκτάθηκε με πλασματικές αλληλεπιδράσεις ανθρώπινης ταυτότητας σε κοινή θέα».
Μια χαμηλή και αργή επίθεση
Η επίθεση φαίνεται να ξεκίνησε τον Οκτώβριο του 2021, όταν ένα άτομο που χρησιμοποιούσε τη λαβή "Jia Tan" υπέβαλε ένα αβλαβές patch στο έργο XZ Utils για ένα άτομο. Τις επόμενες εβδομάδες και μήνες, ο λογαριασμός Jia Tan υπέβαλε πολλά παρόμοια αβλαβή patches (περιγράφονται λεπτομερώς σε αυτό χρονοδιάγραμμα) στο έργο XZ Utils, το οποίο ο μοναδικός συντηρητής του, ένα άτομο με το όνομα Lasse Collins, άρχισε τελικά να συγχωνεύεται στο βοηθητικό πρόγραμμα.
Ξεκινώντας τον Απρίλιο του 2022, μερικές άλλες περσόνες - η μία χρησιμοποιώντας τη λαβή "Jigar Kumar" και η άλλη "Dennis Ens" - άρχισαν να στέλνουν email στον Collins, πιέζοντάς τον να ενσωματώσει τα patches του Tan στο XZ Utils με ταχύτερο ρυθμό.
Οι περσόνες Jigar Kumar και Dennis Ens αύξησαν σταδιακά την πίεση στον Collins, ζητώντας του τελικά να προσθέσει έναν άλλο συντηρητή στο έργο. Ο Κόλινς κάποια στιγμή επιβεβαίωσε το ενδιαφέρον του για τη διατήρηση του έργου, αλλά ομολόγησε ότι περιοριζόταν από «μακροπρόθεσμα προβλήματα ψυχικής υγείας». Τελικά, ο Collins υπέκυψε στην πίεση των Kumar και Ens και έδωσε στον Jia Tan πρόσβαση στο έργο και την εξουσία να κάνει αλλαγές στον κώδικα.
«Στόχος τους ήταν να παραχωρήσουν πλήρη πρόσβαση στον πηγαίο κώδικα του XZ Utils στον Jia Tan και να εισάγουν διακριτικά κακόβουλο κώδικα στο XZ Utils», είπε η Kaspersky. «Οι ταυτότητες αλληλεπιδρούν ακόμη και μεταξύ τους σε θέματα αλληλογραφίας, παραπονούμενοι για την ανάγκη αντικατάστασης του Lasse Collin ως συντηρητή του XZ Utils». Οι διαφορετικές προσωπικότητες στην επίθεση - Jia Tan, Jigar Kumar και Dennis Ens - φαίνεται ότι σκόπιμα φαίνονται σαν να προέρχονται από διαφορετικές γεωγραφίες, για να διαλύσουν κάθε αμφιβολία σχετικά με τη συνεργασία τους. Ένα άλλο άτομο ή πρόσωπο, ο Hans Jansen, εμφανίστηκε για λίγο τον Ιούνιο του 2023 με κάποιο νέο κώδικα βελτιστοποίησης απόδοσης για το XZ Utils που κατέληξε να ενσωματωθεί στο βοηθητικό πρόγραμμα.
Ένα ευρύ καστ ηθοποιών
Η Jia Tan εισήγαγε το backdoor binary στο βοηθητικό πρόγραμμα τον Φεβρουάριο του 2024 αφού απέκτησε τον έλεγχο των εργασιών συντήρησης XZ Util. Μετά από αυτό, ο χαρακτήρας Jansen επανεμφανίστηκε - μαζί με δύο άλλες περσόνες - ο καθένας πιέζοντας τους μεγάλους διανομείς Linux να εισαγάγουν το backdoored βοηθητικό πρόγραμμα στη διανομή τους, είπε ο Kasperksy.
Αυτό που δεν είναι απολύτως σαφές είναι εάν η επίθεση αφορούσε μια μικρή ομάδα ηθοποιών ή ένα μεμονωμένο άτομο που κατάφερε με επιτυχία πολλούς ταυτότητες και χειραγώγησαν τον συντηρητή ώστε να τους δώσει το δικαίωμα να κάνουν αλλαγές κώδικα στο έργο.
Ο Kurt Baumgartner, κύριος ερευνητής στην παγκόσμια ομάδα έρευνας και ανάλυσης της Kaspersky, λέει στο Dark Reading ότι πρόσθετες πηγές δεδομένων, συμπεριλαμβανομένων δεδομένων σύνδεσης και ροής δικτύου, θα μπορούσαν να βοηθήσουν στη διερεύνηση των ταυτοτήτων που εμπλέκονται στην επίθεση. «Ο κόσμος του ανοιχτού κώδικα είναι εξαιρετικά ανοιχτός», λέει, «επιτρέποντας σε σκοτεινές ταυτότητες να συνεισφέρουν αμφισβητούμενο κώδικα σε έργα που είναι σημαντικές εξαρτήσεις».
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/application-security/attacker-social-engineered-backdoor-code-into-xz-utils