Alla fine, sostiene Scott, quei tre anni di modifiche al codice e di e-mail educate probabilmente non sono stati spesi per sabotare più progetti software, ma piuttosto per costruire una storia di credibilità in preparazione al sabotaggio specifico di XZ Utils – e forse di altri progetti in futuro. “Non è mai arrivato a quel punto perché siamo stati fortunati e abbiamo trovato le sue cose”, dice Scott. “Adesso è esaurito e dovrà tornare al punto di partenza.”
Marchi tecnici e fusi orari
Nonostante la personalità di Jia Tan come individuo, la sua preparazione nel corso degli anni è il segno distintivo di un gruppo di hacker ben organizzato e sponsorizzato dallo Stato, afferma Rayu, ex ricercatore principale di Kaspersky. E lo sono anche le caratteristiche tecniche distintive del codice dannoso XZ Utils aggiunte da Jia Tan. Rayo sottolinea che il codice, a prima vista, sembra davvero uno strumento di compressione. “È scritto in un modo molto sovversivo”, dice. È anche una backdoor “passiva”, dice Rayo, quindi non raggiungerà il server di comando e controllo che potrebbe aiutare a identificare l'operatore della backdoor. Attende invece che l'operatore si connetta al dispositivo di destinazione tramite SSH e si autentichi con una chiave privata, generata utilizzando una funzione di crittografia particolarmente potente nota come ED448.
Rayo suggerisce che il design esatto della backdoor potrebbe essere opera di hacker americani, ma osserva che ciò è improbabile, perché gli Stati Uniti in genere non sabotano i progetti open source e, se lo facessero, la NSA probabilmente utilizzerebbe la crittografia resistente ai quanti. . funzione, cosa che ED448 non è. Ciò lascia i gruppi non statunitensi con una storia di attacchi alla catena di approvvigionamento, come l’APT41 cinese, il Lazarus Group della Corea del Nord e l’APT29 russo, osserva Rayo.
A prima vista, Jia Tan sembra certamente dell’Asia orientale – o dovrebbe esserlo. Il fuso orario per gli impegni di Jia Tan è UTC+8: questo è il fuso orario della Cina, ed è a solo un'ora di distanza dal fuso orario della Corea del Nord. Tuttavia, l'A Analisi di due ricercatoriRhea Carty e Simon Henniger suggeriscono che Jia Tan potrebbe aver semplicemente cambiato il fuso orario del proprio computer in UTC+8 prima di ogni commit. In effetti, molti dei commit sono stati effettuati utilizzando un computer impostato su un fuso orario dell'Europa orientale, forse quando Jia Tan si è dimenticata di apportare la modifica.
“Un altro indicatore del fatto che non provengono dalla Cina è il fatto che hanno lavorato durante le principali festività cinesi”, affermano Carty e Henniger, studenti rispettivamente del Dartmouth College e dell'Università Tecnica di Monaco. Lo sviluppatore Boehs aggiunge che gran parte del lavoro inizia alle 9:00 e termina alle 17:00 per i fusi orari dell'Europa orientale. “La tempistica degli impegni suggerisce che non si trattava di un progetto realizzato al di fuori dell'azienda”, afferma Buhs.
Tutti questi indizi ci portano in Russia, in particolare al gruppo di hacker russo APT29, afferma Dave Aitel, ex hacker della NSA e fondatore della società di sicurezza informatica Immunity. APT29, che si ritiene lavori per l'agenzia di intelligence straniera russa, nota come SVR, ha una reputazione di sponsorizzazione tecnica come pochi altri gruppi di hacker, sottolinea Aitel. APT29 ha effettuato anche l’hacking Solar Winds, che è forse l’attacco più coordinato ed efficace nella storia alla catena di fornitura di software. Questo processo corrisponde all’approccio backdoor di XZ Utils molto più degli attacchi più primitivi alla catena di approvvigionamento di APT41 o Lazarus, al confronto.
“Potrebbe essere qualcun altro”, dice Aitel. “Ma voglio dire, se stai cercando gli attacchi alla catena di approvvigionamento più sofisticati del pianeta, quelli sarebbero i nostri buoni amici in SVR.”
I ricercatori sulla sicurezza concordano, almeno, sul fatto che è improbabile che Jia Tan sia una persona reale, o anche una persona che agisce da sola. Sembra invece chiaro che il personaggio fosse l'incarnazione online di una nuova tattica di un'organizzazione nuova e ben organizzata, che quasi funzionava. Ciò significa che dovremmo aspettarci che Jia Tan ritorni sotto altri nomi: contributori apparentemente educati ed entusiasti di progetti open source, che nascondono intenzioni segrete del governo nei loro impegni di codice.
