Злоумышленнику не нужны сложные технические навыки для проведения широкой атаки на цепочку поставок программного обеспечения, подобной той, которую испытали SolarWinds и CodeCov. Иногда все, что нужно, — это немного времени и гениальная социальная инженерия.
Похоже, именно так и произошло с тем, кто внедрил бэкдор в Утилита сжатия данных с открытым исходным кодом XZ Utils в системах Linux ранее в этом году. Анализ инцидента от «Лаборатории Касперского» на этой неделе, а также в аналогичных отчетах других компаний за последние дни, было установлено, что злоумышленник почти полностью полагается на социальные манипуляции для проскользнуть через черный ход в утилиту.
Социальная инженерия: цепочка поставок программного обеспечения с открытым исходным кодом
Зловещим образом это может быть модель, которую злоумышленники используют для внедрения аналогичного вредоносного ПО в другие широко используемые проекты и компоненты с открытым исходным кодом.
В сообщении на прошлой неделе Фонд безопасности открытого исходного кода (OSSF) предупредил, что атака XZ Utils, вероятно, не является изолированным инцидентом. В рекомендации был указан по крайней мере еще один случай, когда противник применил тактику, аналогичную той, что использовалась на XZ Utils взять на себя управление OpenJS Foundation для проектов JavaScript.
«Фонды OSSF и OpenJS призывают всех разработчиков открытого исходного кода быть внимательными к попыткам захвата социальной инженерии, распознавать ранние возникающие модели угроз и предпринимать шаги для защиты своих проектов с открытым исходным кодом», — говорится в предупреждении OSSF.
Разработчик из Microsoft обнаружил бэкдор в новых версиях библиотеки XZ под названием liblzma, исследуя странное поведение при установке Debian. В то время только нестабильные и бета-версии версий Fedora, Debian, Kali, openSUSE и Arch Linux имели бэкдорную библиотеку, а это означало, что для большинства пользователей Linux это практически не было проблемой.
Но особую тревогу, по словам Касперского, вызывает способ, которым злоумышленник внедрил бэкдор. «Одним из ключевых отличий инцидента SolarWinds от предыдущих атак на цепочку поставок был скрытый и продолжительный доступ злоумышленника к исходному коду/среде разработки», — сказал Касперский. «В этом инциденте с XZ Utils этот продолжительный доступ был получен с помощью социальной инженерии и дополнен вымышленными взаимодействиями с человеческими личностями на виду».
Низкая и медленная атака
Судя по всему, атака началась в октябре 2021 года, когда человек под ником «Цзя Тан» отправил безобидный патч в проект XZ Utils, созданный одним человеком. В течение следующих нескольких недель и месяцев с аккаунта Цзя Тана было отправлено несколько аналогичных безобидных патчей (подробно описанных в этом документе). Сроки) к проекту XZ Utils, единственный сопровождающий которого, человек по имени Лассе Коллинз, в конечном итоге начал объединяться с утилитой.
Начиная с апреля 2022 года несколько других лиц — один под ником «Джигар Кумар», а другой — «Деннис Энс» — начали отправлять электронные письма Коллинзу, оказывая на него давление, чтобы он быстрее интегрировал патчи Тана в XZ Utils.
Персонажи Джигара Кумара и Денниса Энса постепенно усилили давление на Коллинза, в конечном итоге попросив его добавить в проект еще одного сопровождающего. Коллинз в какой-то момент подтвердил свою заинтересованность в продолжении проекта, но признался, что его сдерживают «долгосрочные проблемы с психическим здоровьем». В конце концов Коллинз поддался давлению со стороны Кумара и Энса и предоставил Цзя Тану доступ к проекту и право вносить изменения в код.
«Их цель состояла в том, чтобы предоставить Цзя Тану полный доступ к исходному коду XZ Utils и незаметно внедрить вредоносный код в XZ Utils», — сказал Касперский. «Идентификаторы даже взаимодействуют друг с другом в почтовых цепочках, жалуясь на необходимость заменить Лассе Коллина на посту сопровождающего XZ Utils». Различные персонажи, участвовавшие в нападении — Цзя Тан, Джигар Кумар и Деннис Энс — похоже, были намеренно выставлены так, будто они происходят из разных географических регионов, чтобы развеять любые сомнения относительно их совместной работы. Другой человек или личность, Ханс Янсен, ненадолго появился в июне 2023 года с новым кодом оптимизации производительности для XZ Utils, который в конечном итоге был интегрирован в утилиту.
Широкий актерский состав
Цзя Тан внедрил в утилиту бэкдор-бинар в феврале 2024 года после того, как получил контроль над задачами по обслуживанию XZ Util. После этого вновь появился персонаж Янсена — вместе с двумя другими личностями — каждый из которых оказал давление на крупных дистрибьюторов Linux, чтобы те внедрили утилиту с бэкдором в свой дистрибутив, сказал Касперкси.
Не совсем ясно, участвовала ли в нападении небольшая группа актеров или один человек, успешно справившийся с несколькими личности и манипулировали сопровождающим, чтобы он дал им право вносить изменения в код проекта.
Курт Баумгартнер, главный научный сотрудник глобальной исследовательской и аналитической группы «Лаборатории Касперского», рассказал Dark Reading, что дополнительные источники данных, включая данные входа в систему и данные сетевого потока, могут помочь в расследовании личностей, участвовавших в атаке. «Мир открытого исходного кода чрезвычайно открыт, — говорит он, — и позволяет сомнительным личностям вносить сомнительный код в проекты, которые являются основными зависимостями».
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/application-security/attacker-social-engineered-backdoor-code-into-xz-utils