El secreto de “Jia Tan”, el cerebro del backdoor XZ

[ad_1]

En última instancia, Scott sostiene que estos tres años de cambios de código y correos electrónicos corteses probablemente no se dedicaron a sabotear múltiples proyectos de software, sino a construir una historia de credibilidad para centrarse específicamente en el sabotaje de XZ Utils (y posiblemente de otros proyectos en el futuro) para preparar . "Simplemente nunca llegó a ese paso porque tuvimos suerte y encontramos sus cosas", dice Scott. "Así que ahora está quemado y tiene que empezar todo de nuevo".

ticks técnicos y zonas horarias

Aunque Jia Tan aparece como un individuo, sus años de preparación son el sello distintivo de un grupo de hackers bien organizado y patrocinado por el estado, sostiene Raiu, ex investigador principal de Kaspersky. Esto también se aplica a las características técnicas del código malicioso XZ Utils que agregó Jia Tan. Raiu señala que a primera vista el código realmente parece una herramienta de compresión. "Está escrito de una manera muy subversiva", dice. Según Raiu, también es una puerta trasera "pasiva", lo que significa que no accedería a un servidor de comando y control que podría ayudar a identificar al operador de la puerta trasera. En cambio, espera a que el operador se conecte a la computadora de destino a través de SSH y se autentique con una clave privada, una clave generada mediante una función criptográfica particularmente potente llamada ED448.

El cuidadoso diseño de la puerta trasera podría ser obra de hackers estadounidenses, señala Raiu, pero dice que eso es poco probable ya que Estados Unidos normalmente no sabotearía proyectos de código abierto, y si lo hiciera, la Agencia de Seguridad Nacional probablemente se volvería resistente a los cuánticos. característica de criptografía que ED448 no tiene. Raiu sugiere que grupos no estadounidenses como el APT41 de China, el Grupo Lazarus de Corea del Norte y el APT29 de Rusia tienen un historial de ataques a la cadena de suministro.

A primera vista, Jia Tan definitivamente parece del este de Asia, o al menos se supone que así es. La zona horaria de los compromisos de Jia Tan es UTC+8: esta es la zona horaria de China y está a sólo una hora de la de Corea del Norte. Sin embargo, un análisis realizado por dos investigadores, Rhea Karty y Simon Henniger, sugiere que es posible que Jia Tan simplemente haya cambiado la zona horaria de su computadora a UTC+8 antes de cada confirmación. De hecho, varias confirmaciones se realizaron con una computadora configurada en una zona horaria de Europa del Este, tal vez porque Jia Tan olvidó hacer el cambio.

"Otro indicio de que no son de China es el hecho de que trabajaron en importantes días festivos chinos", dijeron Karty y Henniger, estudiantes del Dartmouth College y de la Universidad Técnica de Munich, respectivamente. Boehs, el desarrollador, añade que gran parte del trabajo comienza a las 9 a.m. y termina a las 5 p.m. (en las zonas horarias de Europa del Este). "El período de tiempo de los compromisos sugiere que este no fue un proyecto que hicieron fuera del trabajo", dice Boehs.

Todas estas pistas apuntan a Rusia, y en particular al grupo de hackers ruso APT29, sostiene Dave Aitel, ex hacker de la NSA y fundador de la empresa de ciberseguridad Immunity. Aitel señala que APT29 -que se cree ampliamente que trabaja para la agencia de inteligencia extranjera de Rusia SVR- tiene una reputación de rigor técnico que pocos otros grupos de hackers tienen. APT29 también llevó a cabo el compromiso de Solar Winds, quizás el ataque más inteligente y eficaz a la cadena de suministro de software de la historia. En comparación, esta operación está mucho más en consonancia con el estilo de la puerta trasera de XZ Utils que los ataques más crudos a la cadena de suministro de APT41 o Lazarus.

“Definitivamente podría ser otra persona”, afirma Aitel. "Pero quiero decir, si estás buscando las operaciones maliciosas más sofisticadas del planeta, estos son nuestros queridos amigos del SVR".

Al menos los investigadores de seguridad coinciden en que es poco probable que Jia Tan sea una persona real o incluso alguien que trabaje solo. En cambio, parece claro que la persona era la encarnación en línea de una nueva táctica de una organización nueva y bien organizada, una táctica que casi funcionó. Dicho esto, deberíamos esperar que Jia Tan regrese con diferentes nombres: contribuyentes aparentemente educados y entusiastas de proyectos de código abierto que ocultan las intenciones secretas de un gobierno en sus compromisos de código.

[ad_2]

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *


Subir