3月29日, 微軟軟體開發人員安德烈斯·弗羅因德(Andres Freund)在嘗試優化電腦效能時,發現某個程式使用了超出預期的處理能力。弗羅因德著手排除故障並「變得可疑」。
最終,弗羅因德發現了問題的原因,並將其發佈到安全郵件清單中。他在 XZ Utils 中發現了一個後門,XZ Utils 是各種基於 Linux 的電腦應用程式所使用的資料壓縮實用程式。 – 通常不供消費者使用的來源軟體,支援關鍵計算和互聯網功能,例如機器之間的安全通訊。
弗羅因德無意中發現了深埋在二進位測試檔案程式碼中的後門,避免了一場重大安全災難。運行包含後門實用程式並符合惡意程式碼設定的規範的作業系統的電腦很容易受到安全漏洞的影響,從而使攻擊者能夠控制系統。
XZ 後門是作為所謂的軟體供應鏈攻擊而引入的。國家反情報和安全中心將其定義為「針對軟體產品本身供應鏈的故意行為」。這些攻擊通常涉及修改程式原始碼的複雜方法,或透過未經授權存取開發人員的系統,或透過具有合法存取權限的惡意內部人員。
根據 Ars Technica 和 Wired 報告,XZ Utils 惡意程式碼是由一位自稱為 Jia Tan 並使用帳號 JiaT75 的用戶引入的。 Tan 至少從 2021 年底就開始為 XZ 專案做出貢獻,並與參與該專案的開發者社群建立了信任。最終,儘管確切的時間表尚不清楚,但 Tan 與創始人 Lasse Collin 一起晉升為該專案的聯合管理員,允許 Tan 在不需要貢獻批准的情況下添加程式碼。 (譚和科林都沒有回應置評請求。)
XZ後門展現了複雜而細緻的操作。首先,攻擊背後的攻擊者確定了內建於大量 Linux 作業系統中的軟體。這種廣泛使用的技術實用程式的開發人員不足,Collin 是唯一的維護者,但他後來承認自己無法維護 XZ,從而給了另一位開發人員介入的機會。一切都完成了。幾年後,譚在該實用程式中插入了一個後門。所有這些舉措都得到了技術熟練程度的支持,從而導致了實際後門程式碼的創建和嵌入。該程式碼足夠複雜,目前正在對其確切功能和功能進行分析。
電子前沿基金會的系統管理員 Molly 表示:“在二進制測試文件中隱藏漏洞需要非常小心,並且需要花費大量時間才能在開源專案上獲得聲譽,然後利用它。”非常複雜。”單名。 “然而,我們還不知道這是否是國家資助的、黑客團體、流氓開發商,還是以上的組合。”
Tan 晉升為共同維護人員主要發生在電子郵件群組。在這個小組中,程式碼開發人員交流想法並制定策略,以開源 Linux 系列作業系統的協作精神建立應用程式。
在一份電子郵件清單中,科林面臨大量投訴。一群對該專案相對較新的用戶抱怨 Collin 落後並且更新軟體的速度不夠快。其中一些用戶表示他應該交出該項目的控制權。有些人明確要求增加另一名維護者。 Collin 承認他無法再全心投入該項目,並任命 Tan 為聯合維護人員。
參與投訴的用戶似乎不知從何而來,透過似乎是最近創建的 Proton Mail 帳戶發布了一條訊息,然後就消失了。他們的整個線上形像都圍繞著專門針對 XZ 的郵件列表上的這些簡短互動。唯一記錄的興趣是快速引導您完成軟體更新。
最近,美國各情報機構都表示有興趣打擊軟體供應鏈攻擊。弗羅因德發現後,網路安全和基礎設施安全局採取了行動,並於 3 月 29 日(弗羅因德公開發布有關後門的同一天)發布了有關 XZ 後門的警告。
開源播放器
在 Linux 程式設計的開源世界以及 XZ Utils 的開發中,協作是透過電子郵件群組和程式碼儲存庫進行的。 Tan 在 listserv 上發帖,與 Collin 聊天,並向 Microsoft 擁有的程式碼儲存庫 Github 貢獻程式碼變更。 GitHub 隨後禁用了對 XZ 儲存庫的訪問,並禁用了 Tan 的帳戶。 (二月,The Intercept 和其他數位新聞公司起訴微軟及其合作夥伴 OpenAI 在未經許可或未經授權的情況下使用他們的新聞報導。)
電子郵件清單中的其他人也參與了安裝新的共同維護者的工作,這似乎正在蔓延,但目的和時間一致,有時會專門推動 Tan。
後來,在專門針對 Linux 系列作業系統中最受歡迎的 Debian 的清單服務中,另一組使用者主張將後門版本的 XZ Utils 包含在作業系統的發行版中。
這些專門小組扮演著不同的角色。在一個案例中,我們抱怨 XZ Utils 缺乏進展,並透過安裝新的共同維護者來推動更快的更新。另一個是確保更新版本能夠快速且廣泛地分發。
EFF 系統管理員莫莉說:「我們在社交媒體上看到了多個綠色帳戶,它們似乎在關鍵點上共同努力實現特定目標,利用紅襪隊帳戶網絡進行社會工程。」我認為這符合這種模式。 ” “流氓開發商、駭客組織或國家贊助商很可能將這種策略作為後門部署計劃的一部分。當然,也有可能這些只是巧合。”
這種模式似乎符合情報術語中所謂的“角色管理”,即創建並維護多個虛擬身分的做法。國防承包商 HBGary Federation 洩露的文件概述了維護這些虛構人物所採取的細緻措施,包括創建精心設計的在線足跡,這些足跡與 XZ 時間線中涉及的帳戶相關聯。這顯然是缺乏的。
這些其他使用者使用不同的電子郵件,在某些情況下,也使用提供有關帳戶建立時間的線索的提供者。例如,對於 Proton Mail 帳戶,與這些帳戶關聯的加密金鑰是在使用者首次發佈到電子郵件群組的同一天或幾天前建立的。 (但是,使用者也可以產生新金鑰,這意味著他們的電子郵件地址可能比目前金鑰舊。)
這些清單的首批用戶之一使用了 Jigar Kumar 這個名字。 Kumar 於 2022 年 4 月出現在 XZ 開發郵件清單中,並抱怨該工具的某些功能令人困惑。譚很快就回應了評論。 (庫馬爾先生沒有回應置評請求。)
庫馬爾繼續不斷抱怨,有時加劇了其他人的挫折感。在丹尼斯·恩斯出現在同一郵件列表中後,恩斯還抱怨他的一條消息沒有得到答复。科林承認事情越來越多,並說譚幫他把它從清單上劃掉了。他可能很快就會在“XZ Utils 中扮演更重要的角色”。 (Ens 沒有回應置評請求。)
在 Kumar 再次抱怨要求新的維護者後,Colin 回應:最近我和 XZ Utils 的 Jia Tan 進行了一些非正式的工作,也許他將來會扮演更重要的角色。 」
壓力繼續加大。 「正如我在之前的一封電子郵件中暗示的那樣,賈坦可能會在未來的專案中發揮更大的作用,」在恩斯建議接管部分職責後,科林回覆。 “他在名單外提供了很多幫助,實際上已經是一名共同維護者了。:-)”
Ens 隨後沉寂了兩年,但在大部分惡意後門程式碼安裝在 XZ 軟體中時又重新浮出水面。 Ens 繼續要求更快的更新。
Collin 最終任命 Tan 為聯合維護者後,人們開始努力廣泛分發 XZ Utils(現在有後門)。 繼 2023 年 6 月首次出現在 XZ GitHub 儲存庫中後,另一個自稱 Hans Jansen 的人於今年 3 月請求將新版本的 XZ 包含在 Debian Linux 中。 (詹森先生沒有回應置評請求。)
Red Hat 是 IBM 旗下的軟體公司,贊助並協助維護另一種受歡迎的 Linux 作業系統 Fedora,該公司的員工試圖說服 Tan 將受感染的 XZ Utils 加入 Fedora。
這些流行的 Linux 作業系統擁有數百萬電腦用戶。這意味著,如果開發者弗羅因德沒有發現後門,大量用戶將面臨風險。
「關鍵軟體中存在社會工程後門的可能性似乎是對開源專案的控訴,但這並不是開源獨有的,它可能發生在任何地方,」莫雷說。 “事實上,該專案的開放性使我們的工程師能夠在發貨前發現這個後門。”
