Linux-агент под прикрытием: кто такой Цзя Тан и в чём заключается его тайная миссия

Интернет без ограничений в России – с VPN через Телеграмм-бот:

Какие цели преследовала многолетняя инфильтрация в проектах с открытым исходным кодом?

Ранее на этой неделе мы уже рассказывали о том, что в утилите для сжатия данных XZ Utils, которая используется повсеместно во многих дистрибутивах Linux, был выявлен хорошо замаскированный бэкдор, внедрённый китайским разработчиком под псевдонимом Цзя Тан.

В этом материале мы подробнее рассмотрим, кто вообще такой этот Цзя Тан, как именно ему удалось тайно внедрить бэкдор, и какие цели он преследовал.

По мнению экспертов, за вышеозвученным псевдонимом скрывается не один хакер, а целая группа, предположительно поддерживаемая государством. Злоумышленники использовали стратегию долгосрочной инфильтрации в проекты с открытым исходным кодом.

Не один год хакеры готовились к этой атаке, чтобы провернуть всё так, чтобы никто ничего не заметил. Тем не менее, по какому-то безумно удачному стечению обстоятельств бэкдор всё же удалось обнаружить прежде, чем он успел нанести ощутимый вред.

Цзя Тан начал свою деятельность на GitHub в ноябре 2021 года, предложив изменения к одному из продуктов с открытым исходным кодом. В последующие годы этот разработчик смог в значительной степени перехватить контроль над проектом XZ Utils, заменив оригинального сопровождающего, Лассе Коллина. Это стало возможным благодаря жалобам некоторых пользователей на медленное обновление проекта, мотивы которых остаются неясными.

Костин Райю, бывший ведущий исследователь «Лаборатории Касперского», предполагает, что за Цзя Тан стоит группировка, спонсируемая определённым государством.

Разблокируй интернет в России с помощью нашего VPN:

Несмотря на китайский псевдоним хакера, Райю считает, что ещё слишком рано делать обоснованные предположения относительно страны-виновника, так как использование китайского псевдонима может быть намеренной попыткой запутать расследование.

Однако одно, по мнению Райю, совершенно ясно: это была одна из самых хитроумных атак, чем все предыдущие атаки на цепочки поставок программного обеспечения, которые видел исследователь.

Расследование выявило исключительно высокий уровень операционной безопасности Цзя Тана, в том числе использование VPN с сингапурским IP-адресом и отсутствие любых других следов в интернете. Такой подход подчёркивает серьёзность его намерений, а также предположение о том, что за этим именем скрывается выдуманная личность. С момента обнаружения бэкдора в XZ Utils Цзя Тан бесследно исчез, а его аккаунт на GitHub был заблокирован.

Сообщается, что Цзя Тан внёс около 6 000 изменений в код как минимум семи разных проектов между 2021 и февралём 2024 года. Определение всех последствий этих многочисленных изменений представляется экспертам почти невозможным, так как в случае с XZ Utils вредоносный код был так сильно обфусцирован, что выявить его помогла счастливая случайность.

Кто знает, сколько ещё открытых продуктов пострадали из-за вмешательства Цзя Тана и прочих государственно спонсируемых хакеров, поставивших себе чёткую цель скомпрометировать цепочки поставок. Наверняка по всему GitHub наберётся ещё как минимум несколько подобных профилей, где коварные хакеры орудуют под личиной добропорядочных разработчиков, однако едва ли у специалистов получится быстро выявить все такие профили, если получится вовсе.

Буквально вчера мы сообщали о бесплатном онлайн-сканере бинарных файлов, разработанным компанией Binarly, который способен выявлять файлы Linux, подверженных влиянию атаки на цепочку поставок в утилитах XZ Utils.

Будем надеяться, что специалисты безопасности смогут разработать аналогичный автоматический инструмент для сканирования исходного кода затронутых проектов, чтобы выявить другие угрозы, которые наверняка есть, и обезопасить таким образом как разработчиков, так и конечных пользователей.

Кибербезопасность – это просто, если знаешь как.

Подпишись и узнай!

Купить анонимный VPN означает приобретение виртуальной частной сети (VPN), которая обеспечивает высокий уровень анонимности и конфиденциальности при использовании интернета. Анонимный VPN помогает скрыть вашу личность, местоположение и онлайн-активность от посторонних, включая интернет-провайдеров, хакеров и государственные органы.

Почему стоит купить анонимный VPN?

• Защита конфиденциальности: Анонимный VPN помогает защитить вашу личную информацию от слежки и утечек, что особенно важно в условиях растущей онлайн-угрозы.

• Безопасность в общественных сетях: Используя анонимный VPN, вы можете безопасно подключаться к общественным Wi-Fi сетям, защищая свои данные от кражи.

• Анонимное серфинг: Анонимный VPN позволяет вам без опасений исследовать интернет, не беспокоясь о том, что кто-то может отслеживать вашу активность.

• Гибкость и удобство: Анонимные VPN-сервисы часто предлагают различные настройки и функции, что позволяет пользователю адаптировать сервис под свои нужды.