Home Economia O mistério de ‘Jia Tan’, o mentor do backdoor XZ

O mistério de ‘Jia Tan’, o mentor do backdoor XZ

Por Humberto Marchezini


Em última análise, Scott argumenta que esses três anos de mudanças de código e e-mails educados provavelmente não foram gastos sabotando vários projetos de software, mas sim construindo um histórico de credibilidade em preparação para a sabotagem do XZ Utils especificamente – e potencialmente de outros projetos no futuro. “Ele nunca chegou a esse ponto porque tivemos sorte e encontramos as coisas dele”, diz Scott. “Então isso está queimado agora e ele terá que voltar à estaca zero.”

Marcações técnicas e fusos horários

Apesar da personalidade de Jia Tan como um indivíduo único, a sua preparação de anos é uma marca registrada de um grupo de hackers bem organizado e patrocinado pelo Estado, argumenta Raiu, o ex-pesquisador principal da Kaspersky. O mesmo ocorre com as características técnicas do código malicioso XZ Utils que Jia Tan adicionou. Raiu observa que, à primeira vista, o código realmente parece uma ferramenta de compactação. “Está escrito de uma maneira muito subversiva”, diz ele. É também um backdoor “passivo”, diz Raiu, portanto, não alcançaria um servidor de comando e controle que pudesse ajudar a identificar o operador do backdoor. Em vez disso, ele espera que o operador se conecte à máquina de destino via SSH e se autentique com uma chave privada – gerada com uma função criptográfica particularmente forte conhecida como ED448.

O design cuidadoso do backdoor pode ser obra de hackers dos EUA, observa Raiu, mas ele sugere que isso é improvável, já que os EUA normalmente não sabotariam projetos de código aberto – e se o fizessem, a NSA provavelmente usaria uma função criptográfica resistente a quantum. , o que ED448 não é. Isso deixa os grupos não americanos com um histórico de ataques à cadeia de abastecimento, sugere Raiu, como o APT41 da China, o Grupo Lazarus da Coreia do Norte e o APT29 da Rússia.

À primeira vista, Jia Tan certamente parece do Leste Asiático – ou deveria ser. O fuso horário dos commits de Jia Tan é UTC+8: esse é o fuso horário da China e apenas uma hora de diferença em relação ao da Coreia do Norte. No entanto, um análise de dois pesquisadores, Rhea Karty e Simon Henniger, sugerem que Jia Tan pode simplesmente ter alterado o fuso horário de seu computador para UTC+8 antes de cada commit. Na verdade, vários commits foram feitos com um computador configurado para um fuso horário do Leste Europeu, talvez quando Jia Tan se esqueceu de fazer a alteração.

“Outra indicação de que não são da China é o facto de terem trabalhado em feriados chineses notáveis”, dizem Karty e Henniger, estudantes do Dartmouth College e da TU Munich, respetivamente. Boehs, o desenvolvedor, acrescenta que grande parte do trabalho começa às 9h e termina às 17h para os fusos horários do Leste Europeu. “O intervalo de tempo dos commits sugere que este não foi um projeto que eles realizaram fora do trabalho”, diz Boehs.

Todas essas pistas levam à Rússia, e especificamente ao grupo de hackers APT29 da Rússia, argumenta Dave Aitel, um ex-hacker da NSA e fundador da empresa de segurança cibernética Immunity. Aitel ressalta que o APT29, que se acredita que trabalha para a agência de inteligência estrangeira da Rússia conhecida como SVR, tem uma reputação de cuidado técnico de um tipo que poucos outros grupos de hackers demonstram. O APT29 também executou o compromisso Solar Winds, talvez o ataque à cadeia de fornecimento de software mais habilmente coordenado e eficaz da história. Essa operação corresponde muito mais ao estilo do backdoor do XZ Utils do que aos ataques mais grosseiros à cadeia de suprimentos do APT41 ou do Lazarus, em comparação.

“Pode muito bem ser outra pessoa”, diz Aitel. “Mas quero dizer, se você está procurando as operações maliciosas mais sofisticadas do planeta, esses serão nossos queridos amigos do SVR.”

Os pesquisadores de segurança concordam, pelo menos, que é improvável que Jia Tan seja uma pessoa real, ou mesmo uma pessoa que trabalhe sozinha. Em vez disso, parece claro que a persona era a personificação online de uma nova tática de uma organização nova e bem organizada – e que quase funcionou. Isso significa que devemos esperar ver Jia Tan retornar com outros nomes: colaboradores aparentemente educados e entusiasmados para projetos de código aberto, escondendo as intenções secretas de um governo em seus commits de código.



Source link

Related Articles

Deixe um comentário