:format(jpeg):quality(80)/wp-content/uploads/2024/04/tia-lan-atac-cibernetic-scaled.jpg)
Săptămâna trecută, un atac cibernetic sofisticat, pus la cale cu minuțiozitate timp de trei ani, a fost descoperit aproape din întâmplare de către un inginer Microsoft. Acum toată lumea se întreabă cine este cu adevărat „Jia Tan”, hackerul misterios din spatele atacului dejucat. Din nou, principalele suspiciuni se îndreaptă către Moscova și unitatea de hackeri APT 29 a Serviciului de Informații Externe rus (SVR).
Un atac sofisticat pregătit de un actor statal
La sfârșitul săptămânii trecute, comunitatea de securitate cibernetică a fost zguduită de vestea că o versiune experimentală, relativ nouă, a XZ Utils – un program de compresie integrat în Linux – conținea un backdoor care ar fi permis hackerilor să se conecteze la sistemul protejat și să ruleze propriile comenzi în calitate de administrator.
Doar o muncă de detectiv, efectuată din întâmplare de un inginer solitar de la Microsoft, Andres Freund – care a detectat o întârziere ciudată în modul de funcționare a protocolului de conectare de la distanță SSH într-o versiune a variantei Linux Debian – a descoperit șiretlicul de spionaj înainte ca acesta să ajungă în multe milioane de sisteme din întreaga lume.
Acest tip de atacuri cibernetice se numesc în limbajul de specialitate „supply chain attacks” – atacuri pe lanțul de aprovizionare, în traducere liberă. Adică, dacă urmărești să obții acces la mailurile și baza de date a Pentagonului, de exemplu, în loc să ataci direct protocoalele de securitate, cauți o portiță la serverele exterioare, iar aici, la unul dintre programele care rulează pe aceste servere. Astfel, țintele hackerilor devin companiile ce dezvoltă acele programe, aparent fără legătură cu securitatea națională, dar care pot deveni astfel o ușă de intrare pentru culegerea de informații.
Cel mai sever atac cibernetic de acest tip a fost descoperit în urmă cu câțiva ani, atunci când hackeri necunoscuți au avut acces la informațiile mai multor agenții americane. Autoritățile americane nu știu, sau nu spun, nici până acum cât de mult au fost afectate de „Atacul Solar Winds”, despre care cei de la Wired au scris anul trecut.
Inginerul de la Microsoft a observat o creștere cu 0,5% a CPU, anomalia care a dus la identificarea backdoor-ului
Acest backdoor la XZ Utils, un program open source, a fost inserat de nimeni altul decât principalul administrator al softului, un dezvoltator online cunoscut sub numele de Jia Tan. Acum, după ce întregul atac cibernetic a fost descoperit la sursa inițială, marea întrebare care rămâne este cine anume este acest Jia Tan, sau cel mai probabil, cine sunt cei care au stat în spatele acestui nume?
Ceea ce se știe este că Jia Tan a exploatat abordarea de crowdsourcing a software-ului open source, prin care oricine poate sugera modificări la codul unui program pe platforme precum GitHub, unde modificările sunt revizuite de alți programatori înainte de a fi integrate în software.
Istoricul online al userului Jia Tan arată că acesta și-a făcut apariția pe forumurile de programare în noiembrie 2021 cu numele de utilizator JiaT75 pe GitHub, apoi a contribuit la alte proiecte open source folosind numele Jia Tan, sau uneori Jia Cheong Tan, timp de mai bine de un an înainte de a începe să trimită modificări la XZ Utils, a scris publicația Wired, într-un amplu material despre acest recent incident de securitate.
În ianuarie 2023, modificările la codul programului propuse de către Jia Tan erau integrate în XZ Utils. În următorul an, Jia Tan avea să preia în mare parte controlul proiectului de la inventatorul și cel care se ocupa de acest program, Lasse Collin. Schimbarea a fost determinată în parte și de e-mailurile sâcâitoare trimise lui Collin de o mână de utilizatori care se plângeau de actualizările lente. (Rămâne neclar dacă acei utilizatori au fost complici involuntari sau dacă au colaborat cu Jia Tan pentru a-l convinge pe Collin să renunțe la control. Niciunul dintre utilizatori nu a răspuns la solicitările de comentarii din partea WIRED).
În cele din urmă, Jia Tan a adăugat backdoor-ul invizibil la o versiune a XZ Utils în luna februarie a acestui an.
Această abordare inuman de răbdătoare, vorbim de un proces ce a început în urmă cu doi ani și jumătate, împreună cu caracteristicile tehnice sofisticate ale backdoor-ului, i-a determinat pe mulți din lumea securității cibernetice să creadă că Jia Tan trebuie să fie, de fapt, un grup de hackeri foarte buni ce operează în numele unui stat.
“Această operațiune de mai mulți ani a fost foarte vicleană, iar backdoor-ul implantat este incredibil de înșelător“, a declarat pentru Wired Costin Raiu, care până anul trecut a fost cel mai important cercetător și șef al echipei globale de cercetare și analiză la firma rusă de securitate cibernetică Kaspersky. “Aș spune că este vorba despre un grup susținut de un stat, unul cu obiective pe termen lung care își permite să investească în infiltrarea multianuală a proiectelor open source”.
Cât despre ce națiune, Raiu numește suspecții obișnuiți: China, Rusia și Coreea de Nord. El spune că este încă prea devreme pentru a ști cine este adevăratul vinovat. “Un lucru este cu siguranță clar, acesta a fost mai viclean supply chain atac dintre toate pe care le-am văzut.”
Ce informații se știu despre identitatea lui Jia Tan
Odată ce știrea privind backdoor-ul invizibil instalat de userul Jia Tan în update-ul programului XZ Utilities s-a propagat, experții din domeniu, dar și simplii programatori din această comunitate, au început să caute informații cu privire la identitatea lui Jia Tan.
Reporterul independent de securitate Brian Krebs scrie că nu a putut găsi “nicio urmă” a adresei de e-mail a lui Jia Tan în afara mesajelor pe care le-a trimis colegilor colaboratori open source, chiar și după ce a cercetat bazele de date sparte. De asemenea, se pare că Jia Tan și-a direcționat toate comunicațiile prin intermediul unui VPN cu o adresă IP din Singapore.
„Este rar să observăm această lipsă totală de prezență în bazele de date sparte o dată sau de două ori în cursul unei investigații, dar să o găsim de mai multe ori sugerează că avem de-a face cu o operațiune care a fost pregătită cu grijă de la început. Iar asta înseamnă aproape sigur că este vorba de un proiect de grup (sponsorizat de stat)”, a scris reporterul Brian Krebs.
Jia Tan nu a lăsat alte urme online, fapt ce ridică suspiciuni
Lipsa oricărei alte prezențe online legate de Jia Tan indică faptul că acest cont este o “persoană inventată cu un singur scop” și arată cât de multă sofisticare, răbdare și gândire au fost puse în dezvoltarea backdoor-ului, spune Will Thomas, instructor la SANS Institute, o firmă din domeniul securității cibernetice.
Personajul Jia Tan a dispărut de când a fost descoperit backdoor-ul implantat de acesta.
De fapt, singurele amprente reale pe care Jia Tan pare să le fi lăsat în urmă au fost contribuțiile sale la comunitatea de dezvoltare a softurilor open source, unde a fost un contribuitor prolific. În mod îngrijorător, prima modificare de cod a lui Jia Tan a fost la programul de compresie “libarchive”, o altă componentă open source foarte utilizată. Această primă modificare a schimbat o funcție cu o alternativă mai puțin sigură, ceea ce ar fi putut duce la o altă modificare malițioasă a codului, problema a fost însă remediată între timp.
În total, Jia Tan a făcut 6.000 de modificări de cod la cel puțin șapte proiecte între 2021 și februarie 2024, potrivit lui Michael Scott, co-fondator al firmei de securitate cibernetică NetRise. Determinarea tuturor efectelor de ramificare ale acestor modificări este aproape imposibilă, spune acesta.
Deoarece aceste modificări, cunoscute sub numele de “commits”, sunt adesea grupate în colecții într-un proces cunoscut sub numele de “squashing commits”, nu este întotdeauna evident ce modificări exacte au fost făcute de Jia Tan. Iar dificultatea de a urmări care dintre numeroasele versiuni ale unei biblioteci precum libarchive a ajuns în care software adaugă încă un strat de ofuscare. “Va fi o mică încurcătură să tragem de acest fir și să încercăm să ne dăm seama unde au ajuns toate aceste lucruri”, spune Scott.
Scott notează că, în tot acest timp, Jia Tan trimitea, de asemenea, e-mailuri cu alți contribuitori, scriind pe un ton “foarte concis, foarte sec”, dar nu neprietenos, pe care Scott îl compară cu ChatGPT. “Bună treabă amândurora pentru că ați dus această funcție atât de departe pe cât este deja”, a scris Jia Tan la un moment dat. Sau, la un altul: “Spuneți-mi ce părere aveți despre aceste patch-uri când aveți ocazia :)”. Jordi Mas, un dezvoltator care a contribuit la XZ Utils și care a primit “feedback” prin e-mail de la Jia Tan, spune retrospectiv că acesta a depus eforturi evidente pentru a câștiga încredere.
Exprimarea în scris a lui Jia Tan, asemănată cu Chat GDP
În cele din urmă, Scott susține că acei trei ani de modificări de cod și de e-mailuri politicoase nu au fost petrecuți sabotând mai multe proiecte de software, ci mai degrabă construindu-și un istoric de credibilitate în vederea pregătirii pentru sabotajul specific al XZ Utils și, eventual, pentru alte proiecte în viitor.
“Pur și simplu nu a ajuns niciodată la acel pas pentru că am avut noroc și i-am găsit lucrurile“, spune Scott. “Așa că acum s-a ars, iar el va trebui să se întoarcă de la zero”.
De ce suspiciunile se îndreaptă către Moscova
În ciuda faptului că userul Jia Tan pare a indica existența unei singure persoane, pregătirea de ani întregi a acestei operațiuni este un semn distinctiv al unui grup de hackeri bine organizat și sponsorizat de stat, susține Raiu, fostul cercetător principal de la Kaspersky.
La fel sunt și semnele tehnice ale codului malițios XZ Utils pe care Jia Tan l-a adăugat. Raiu remarcă faptul că, la prima vedere, codul arată cu adevărat ca un instrument de compresie. “Este scris într-o manieră foarte subversivă”, spune acesta. Este, de asemenea, un backdoor “pasiv”, mai subliniază Raiu, astfel că nu ar ajunge la un server de comandă și control care ar putea ajuta la identificarea operatorului backdoor-ului. În schimb, acesta așteaptă ca operatorul să se conecteze la mașina-țintă prin SSH și să se autentifice cu o cheie privată – una generată cu o funcție criptografică deosebit de puternică cunoscută sub numele de ED448.
Proiectarea atentă a backdoor-ului ar putea fi opera hackerilor americani, notează Raiu, dar el sugerează că acest lucru este puțin probabil, deoarece SUA nu ar sabota în mod obișnuit proiectele open source – și dacă ar face-o, Agenția Națională de Securitate ar folosi probabil o funcție criptografică rezistentă la un atac cuantic, ceea ce ED448 nu este. Raiu sugerează că rămân grupurile din afara SUA cu un istoric de atacuri asupra lanțului de aprovizionare, cum ar fi APT41 din China, Lazarus Group din Coreea de Nord și APT29 din Rusia.
La prima vedere, Jia Tan arată cu siguranță ca fiind din Asia de Est – sau așa ar trebui să fie. Fusul orar al angajamentelor lui Jia Tan este UTC+8: acesta este fusul orar al Chinei și este la doar o oră distanță de cel al Coreei de Nord.
Cu toate acestea, o analiză efectuată de doi cercetători, Rhea Karty și Simon Henniger, sugerează că Jia Tan ar fi putut pur și simplu să schimbe fusul orar al computerului său la UTC+8 înainte de fiecare confirmare. De fapt, mai multe comenzi au fost făcute cu un computer setat la un fus orar din Europa de Est sau din Orientul Mijlociu, poate atunci când Jia Tan a uitat să facă această modificare.
“Un alt indiciu că nu sunt din China este faptul că au lucrat în timpul unor sărbători chinezești notabile”, spun Karty și Henniger, studenți la Dartmouth College și, respectiv, la Universitatea Tehnică din München. Aceștia notează că Jia Tan nu a trimis vreun cod nou nici de Crăciun sau de Anul Nou.
Boehs, dezvoltatorul, adaugă că o mare parte din munca lui Jia Tan începe la ora 9 dimineața și se termină la ora 17.00 pentru fusurile orare din Europa de Est sau Orientul Mijlociu. “Intervalul orar al confirmărilor sugerează că acesta nu a fost un proiect pe care l-au făcut în afara serviciului”, spune Boehs.
Deși acest lucru lasă ca posibilități țări precum Iranul și Israelul, majoritatea indiciilor duc spre Rusia și, mai exact, spre grupul de hackeri APT29 din Rusia, susține Dave Aitel, un fost hacker al NSA și fondator al firmei de securitate cibernetică Immunity. Aitel subliniază faptul că APT29 – despre care se crede că lucrează pentru agenția de informații externe a Rusiei, cunoscută sub numele de SVR – are o reputație de excelență și sofisticare tehnică de care puține alte grupuri de hackeri dau dovadă.
APT29 a realizat, de asemenea, Atacul Solar Winds, probabil cel mai abil coordonat și eficient atac de acest tip, atac ce se potrivește ca stil și sofisticare cu atacul asupra XZ Utils. “Ar putea foarte bine să fie altcineva”, spune Aitel. “Dar vreau să subliniez că, dacă sunteți în căutarea celor mai sofisticate atacuri de tip lanț de aprovizionare de pe planetă, aceștia vor fi dragii noștri prieteni de la SVR”.
Cercetătorii în domeniul securității sunt de acord, cel puțin, că este puțin probabil ca Jia Tan să fie o persoană reală, sau chiar o persoană care lucrează singură. În schimb, pare clar că persoana a fost întruchiparea online a unei noi tactici din partea unei organizații noi și bine organizate – o tactică care aproape a funcționat. Asta înseamnă că ar trebui să ne așteptăm să îl vedem pe Jia Tan revenind sub alte nume: contribuitori aparent politicoși și entuziaști la proiecte open source, care ascund intențiile secrete ale unui guvern în declarațiile lor de cod.
