最後,史考特說,過去三年的程式碼變更和禮貌的電子郵件可能不是用來破壞多個軟體專案的,特別是XZ Utils,也可能是未來的其他專案。他們認為,這很可能是用來建立一個歷史項目遭到破壞時的可靠性。 “他只是沒有走到這一步,因為我們很幸運找到了他的東西,”斯科特說。 “所以現在它已經被燒毀了,他將不得不回到原點。”
技術刻度和時區
卡巴斯基實驗室前首席研究員 Laiu 認為,雖然賈坦是個人,但他們所進行的多年準備是一個組織嚴密、國家資助的黑客組織的特徵。 賈坦新增的XZ Utils惡意程式碼的技術特徵與之類似。 Raiu 說,乍一看,程式碼確實看起來像一個壓縮工具。 「這是以一種非常顛覆性的方式寫的,」他說。 Raiu 表示,它也是一個「被動」後門,因此無法存取可以幫助識別後門操作者的命令和控制伺服器。相反,操作員透過 SSH 連接到目標計算機,並等待使用由特別強大的加密功能(稱為 ED448)產生的私鑰進行身份驗證。
Raiu 表示,後門的精心設計可能是美國駭客所為,但他表示這不太可能,因為美國通常不會幹預開源專案。如果受到干擾,美國國家安全局可能會使用量子證明加密功能。 ,ED448不是。 Raiu 表示,因此,美國以外的組織,例如中國的 APT41、北韓的 Lazarus 組織和俄羅斯的 APT29,也將有供應鏈攻擊的歷史。
乍一看,賈坦確實是、或應該是東亞人。 Jia Tan 提交的時區是 UTC+8。這是中國的時區,與北韓的時區僅相差一小時。然而,兩位研究人員 Rhea Karty 和 Simon Henniger 的分析表明,Jia Tan 可能只是在每次提交時將電腦的時區更改為 UTC+8。事實上,一些提交是在電腦設定為東歐時區的情況下進行的,可能是因為 Jia Tan 忘記更改它。
分別來自達特茅斯學院和慕尼黑工業大學的學生卡蒂和亨尼格說:“證明他們不是來自中國的另一個證據是,他們當時正在中國的重要節日工作。”開發商 Boehs 補充說,在東歐時區,大部分工作從上午 9 點開始,下午 5 點結束。 「提交的時間範圍表明這不是他們在工作之外完成的項目,」博斯說。
前 NSA 駭客、網路安全公司 Immunity 創辦人 Dave Eitel 認為,所有這些線索都指向俄羅斯,特別是俄羅斯 APT29 駭客組織。艾特爾指出,人們普遍認為 APT29 是為俄羅斯外國情報機構 SVR 工作,該組織以其他駭客組織所沒有的技術謹慎而聞名。 APT29 也實施了 Solar Winds 漏洞,這可能是史上最協調、最有效的軟體供應鏈攻擊。相較之下,這種操作比APT41和Lazarus等更粗暴的供應鏈攻擊更符合XZ Utils後門的風格。
「很可能是其他人,」艾特爾說。 “但是,如果您正在尋找地球上最複雜的惡意操作,那麼 SVR 將是我們的好朋友。”
安全研究人員至少同意賈坦不太可能是真人或單獨行動的人。相反,很明顯,這個角色是一個組織良好的新組織的新策略的線上體現,而且它大部分都有效。所以我們應該期待賈坦會以不同的名字回來。一個看似禮貌而熱情的開源專案貢獻者,其程式碼隱藏著政府的秘密意圖。