Bir saldırganın, SolarWinds ve CodeCov’un deneyimlediği gibi geniş bir yazılım tedarik zinciri saldırısını gerçekleştirmek için gelişmiş teknik becerilere ihtiyacı yoktur. Bazen tek gereken biraz zaman ve ustaca bir sosyal mühendisliktir.
Görünüşe göre bu, arka kapıyı açan kişinin durumuydu. XZ Utils açık kaynaklı veri sıkıştırma yardımcı programı Bu yılın başlarında Linux sistemlerinde. Olayın analizi Bu hafta Kaspersky’den gelen ve son günlerde başkalarından gelen benzer raporlar, saldırganın neredeyse tamamen sosyal manipülasyona güvendiğini tespit etti. arka kapıyı kaydır yardımcı programa girin.
Sosyal Mühendislik Açık Kaynak Yazılım Tedarik Zinciri
Ne yazık ki bu, saldırganların benzer kötü amaçlı yazılımları yaygın olarak kullanılan diğer açık kaynaklı projelere ve bileşenlere kaydırmak için kullandığı bir model olabilir.
Açık Kaynak Güvenlik Vakfı (OSSF), geçen hafta yayınlanan bir uyarıda, XZ Utils saldırısının muhtemelen münferit bir olay olmadığı konusunda uyardı. Danışma belgesi, en az bir başka örneği tanımladı: düşman XZ Utils’te kullanılana benzer taktikler kullandı OpenJS Foundation for JavaScript projelerini devralmak.
OSSF uyarısında, “OSSF ve OpenJS Vakıfları, tüm açık kaynak bakımcılarını sosyal mühendislik devralma girişimlerine karşı uyanık olmaya, ortaya çıkan erken tehdit modellerini tanımaya ve açık kaynak projelerini korumak için adımlar atmaya çağırıyor.” ifadesine yer verildi.
Microsoft’tan bir geliştirici, Debian kurulumundaki tuhaf davranışları araştırırken, liblzma adı verilen XZ kütüphanesinin daha yeni versiyonlarındaki arka kapıyı keşfetti. O zamanlar yalnızca Fedora, Debian, Kali, openSUSE ve Arch Linux sürümlerinin kararsız ve beta sürümleri arka kapılı kitaplığa sahipti, bu da çoğu Linux kullanıcısı için neredeyse sorun olmadığı anlamına geliyordu.
Ancak Kasperksy, saldırganın arka kapıyı açma şeklinin özellikle rahatsız edici olduğunu söyledi. Kaspersky, “SolarWinds olayının önceki tedarik zinciri saldırılarından en önemli farklarından biri, düşmanın kaynak/geliştirme ortamına gizli ve uzun süreli erişimiydi.” dedi. “Bu XZ Utils olayında, bu uzun süreli erişim sosyal mühendislik yoluyla elde edildi ve göz önünde olan hayali insan kimliği etkileşimleriyle genişletildi.”
Düşük ve Yavaş Bir Saldırı
Saldırının, “Jia Tan” tanıtıcısını kullanan bir kişinin tek kişilik XZ Utils projesine zararsız bir yama göndermesiyle Ekim 2021’de başladığı görülüyor. Sonraki birkaç hafta ve ay boyunca, Jia Tan hesabı birden fazla benzer zararsız yama gönderdi (bu belgede ayrıntılı olarak açıklanmıştır). zaman çizelgesi) XZ Utils projesine katıldı ve projenin tek sahibi Lasse Collins adlı bir kişi, sonunda hizmet sağlayıcıyla birleşmeye başladı.
Nisan 2022’den itibaren, biri “Jigar Kumar” ve diğeri “Dennis Ens” tanıtıcısını kullanan birkaç kişi daha Collins’e e-posta göndermeye başladı ve Tan’ın yamalarını XZ Utils’e daha hızlı entegre etmesi için ona baskı yaptı.
Jigar Kumar ve Dennis Ens karakterleri Collins’in üzerindeki baskıyı yavaş yavaş artırdı ve sonunda ondan projeye başka bir bakımcı eklemesini istedi. Collins bir noktada projeyi sürdürmekle ilgilendiğini doğruladı ancak “uzun vadeli zihinsel sağlık sorunları” nedeniyle kısıtlandığını itiraf etti. Sonunda Collins, Kumar ve Ens’in baskısına yenik düştü ve Jia Tan’a projeye erişim ve kodda değişiklik yapma yetkisi verdi.
Kaspersky, “Amaçları Jia Tan’a XZ Utils kaynak koduna tam erişim sağlamak ve XZ Utils’e kurnazca kötü amaçlı kod eklemekti” dedi. “Kimlikler posta dizilerinde bile birbirleriyle etkileşime giriyor ve XZ Utils’in yöneticisi olarak Lasse Collin’in değiştirilmesi gerektiğinden şikayet ediyorlar.” Saldırıdaki farklı kişiler (Jia Tan, Jigar Kumar ve Dennis Ens) birlikte çalıştıkları konusundaki şüpheleri ortadan kaldırmak için kasıtlı olarak farklı coğrafyalardanmış gibi gösterilmiş gibi görünüyor. Başka bir kişi veya kişi olan Hans Jansen, Haziran 2023’te XZ Utils için yardımcı programa entegre edilen bazı yeni performans optimizasyon koduyla kısa süreliğine ortaya çıktı.
Geniş Oyuncu Kadrosu
Jia Tan, XZ Util bakım görevlerinin kontrolünü aldıktan sonra Şubat 2024’te arka kapı ikili programını hizmet programına dahil etti. Kasperksy, bunun ardından Jansen karakterinin diğer iki kişiyle birlikte yeniden ortaya çıktığını ve her birinin büyük Linux dağıtımcılarına arka kapılı yardımcı programı dağıtımlarına dahil etmeleri için baskı yaptığını söyledi.
Saldırının küçük bir aktör ekibini mi yoksa birkaç kişiyi başarıyla yöneten tek bir kişiyi mi kapsadığı tam olarak açık değil. kimlikleri değiştirdi ve bakımcıyı projede kod değişikliği yapma hakkı vermesi için manipüle etti.
Kaspersky’nin küresel araştırma ve analiz ekibinin baş araştırmacısı Kurt Baumgartner, Dark Reading’e oturum açma ve netflow verileri de dahil olmak üzere ek veri kaynaklarının saldırıya karışan kimliklerin araştırılmasına yardımcı olabileceğini söyledi. “Açık kaynak dünyası son derece açık bir dünyadır” diyor ve “karanlık kimliklerin büyük bağımlılıklar olan projelere şüpheli kodlar eklemesine olanak tanıyor.”