XZ Arka Kapı Dehası 'Jia Tan'ın Gizemi


Sonuç olarak Scott, bu üç yıllık kod değişikliklerinin ve kibar e-postaların muhtemelen birden fazla yazılım projesini sabote etmek için değil, daha ziyade özellikle XZ Utils'in ve potansiyel olarak gelecekteki diğer projelerin sabote edilmesine hazırlık için bir güvenilirlik geçmişi oluşturmak için harcandığını savunuyor. Scott, “Şansımız yaver gitti ve eşyalarını bulduğumuz için o aşamaya hiç ulaşamadı” diyor. “Yani artık yandı ve ilk kareye geri dönmesi gerekecek.”

Teknik İşaretler ve Zaman Dilimleri

Eski Kaspersky baş araştırmacısı Raiu, Jia Tan'ın tek bir birey olarak kişiliğine rağmen, yıllar süren hazırlıklarının iyi organize olmuş, devlet destekli bir hacker grubunun ayırt edici özelliği olduğunu savunuyor. Jia Tan'ın eklediği XZ Utils kötü amaçlı kodunun teknik özellikleri de aynı şekilde. Raiu, kodun ilk bakışta gerçekten bir sıkıştırma aracına benzediğini belirtiyor. “Çok yıkıcı bir tarzda yazılmış” diyor. Raiu, bunun aynı zamanda “pasif” bir arka kapı olduğunu, dolayısıyla arka kapı operatörünün belirlenmesine yardımcı olabilecek bir komuta ve kontrol sunucusuna ulaşmayacağını söylüyor. Bunun yerine, operatörün hedef makineye SSH yoluyla bağlanmasını ve ED448 olarak bilinen özellikle güçlü bir şifreleme işleviyle oluşturulan özel bir anahtarla kimlik doğrulamasını bekler.

Raiu, arka kapının dikkatli tasarımının ABD'li bilgisayar korsanlarının işi olabileceğini belirtiyor, ancak ABD'nin genellikle açık kaynak projelerini sabote etmeyeceği için bunun pek olası olmadığını ve eğer sabote ederse Ulusal Güvenlik Ajansı'nın muhtemelen kuantum dirençli bir kriptografik kullanacağını öne sürüyor. ED448'in olmadığı işlev. Raiu, Çin'in APT41'i, Kuzey Kore'nin Lazarus Grubu ve Rusya'nın APT29'u gibi ABD dışındaki grupların tedarik zinciri saldırıları geçmişiyle karşı karşıya kaldığını öne sürüyor.

İlk bakışta Jia Tan kesinlikle Doğu Asyalıya benziyor ya da öyle olması gerekiyor. Jia Tan'ın taahhütlerinin saat dilimi UTC+8'dir: Bu Çin'in saat dilimidir ve Kuzey Kore'den yalnızca bir saat uzaktadır. Ancak Rhea Karty ve Simon Henniger adlı iki araştırmacı tarafından yapılan bir analiz, Jia Tan'ın her işlemden önce bilgisayarının saat dilimini UTC+8 olarak değiştirmiş olabileceğini öne sürüyor. Aslında, bunun yerine Doğu Avrupa veya Orta Doğu zaman dilimine ayarlanmış bir bilgisayarla birkaç taahhütte bulunuldu; belki de Jia Tan bu değişikliği yapmayı unuttuğunda.

Dartmouth College ve Münih Teknik Üniversitesi öğrencileri sırasıyla Karty ve Henniger, “Çinli olmadıklarının bir başka göstergesi de önemli Çin tatillerinde çalışmış olmalarıdır” diyor. Jia Tan'ın Noel veya Yeni Yıl'da da yeni kod göndermediğini belirtiyorlar. Geliştirici Boehs, işin büyük kısmının Doğu Avrupa veya Orta Doğu zaman dilimlerinde sabah 9'da başlayıp akşam 5'te bittiğini ekliyor. Boehs, “Taahhütlerin zaman aralığı, bunun iş dışında yaptıkları bir proje olmadığını gösteriyor” diyor.

Eski bir NSA hacker'ı ve siber güvenlik firması Immunity'nin kurucusu Dave Aitel, İran ve İsrail gibi ülkeleri olasılık olarak bıraksa da, ipuçlarının çoğunun Rusya'ya ve özellikle de Rusya'nın APT29 hack grubuna dayandığını savunuyor. Aitel, Rusya'nın SVR olarak bilinen yabancı istihbarat teşkilatı için çalıştığına yaygın olarak inanılan APT29'un, diğer birkaç hacker grubunun gösterdiği türden teknik bakım konusunda bir üne sahip olduğuna dikkat çekiyor. APT29 ayrıca tarihteki belki de en ustalıkla koordine edilmiş ve etkili yazılım tedarik zinciri saldırısı olan Solar Winds uzlaşmasını da gerçekleştirdi. Bu operasyon, kıyaslandığında APT41 veya Lazarus'un daha kaba tedarik zinciri saldırılarından çok daha fazla XZ Utils arka kapısının tarzına uyuyor.

Aitel, “Başka biri de olabilir” diyor. “Ama eğer gezegendeki en karmaşık tedarik zinciri saldırılarını arıyorsanız, bu SVR'deki sevgili dostlarımız olacaktır.”

Güvenlik araştırmacıları en azından Jia Tan'ın gerçek bir kişi, hatta tek başına çalışan bir kişi olmasının pek mümkün olmadığı konusunda hemfikir. Bunun yerine, kişiliğin yeni, iyi organize edilmiş bir organizasyondan gelen yeni bir taktiğin çevrimiçi düzenlemesi olduğu açıkça görülüyor; neredeyse işe yarayan bir taktik. Bu, Jia Tan'ın başka isimlerle geri dönmesini beklememiz gerektiği anlamına geliyor: Açık kaynak projelerine görünüşte kibar ve hevesli katkıda bulunanlar, bir hükümetin gizli niyetlerini kod taahhütlerinde saklayanlar.

İsrail veya İran'ın müdahalesi olasılığını belirtmek için 3/4/2024 12:30 ET tarihinde güncellendi.



Source link