Linux-агент под прикрытием: кто такой Цзя Тан и в чём заключается его тайная миссия

Ранее на этой неделе мы уже рассказывали о том, что в утилите для сжатия данных XZ Utils, которая используется повсеместно во многих дистрибутивах Linux, был выявлен хорошо замаскированный бэкдор, внедрённый китайским разработчиком под псевдонимом Цзя Тан.

В этом материале мы подробнее рассмотрим, кто вообще такой этот Цзя Тан, как именно ему удалось тайно внедрить бэкдор, и какие цели он преследовал.

По мнению экспертов, за вышеозвученным псевдонимом скрывается не один хакер, а целая группа, предположительно поддерживаемая государством. Злоумышленники использовали стратегию долгосрочной инфильтрации в проекты с открытым исходным кодом.

Не один год хакеры готовились к этой атаке, чтобы провернуть всё так, чтобы никто ничего не заметил. Тем не менее, по какому-то безумно удачному стечению обстоятельств бэкдор всё же удалось обнаружить прежде, чем он успел нанести ощутимый вред.

Цзя Тан начал свою деятельность на GitHub в ноябре 2021 года, предложив изменения к одному из продуктов с открытым исходным кодом. В последующие годы этот разработчик смог в значительной степени перехватить контроль над проектом XZ Utils, заменив оригинального сопровождающего, Лассе Коллина. Это стало возможным благодаря жалобам некоторых пользователей на медленное обновление проекта, мотивы которых остаются неясными.

Костин Райю, бывший ведущий исследователь «Лаборатории Касперского», предполагает, что за Цзя Тан стоит группировка, спонсируемая определённым государством.

Несмотря на китайский псевдоним хакера, Райю считает, что ещё слишком рано делать обоснованные предположения относительно страны-виновника, так как использование китайского псевдонима может быть намеренной попыткой запутать расследование.

Однако одно, по мнению Райю, совершенно ясно: это была одна из самых хитроумных атак, чем все предыдущие атаки на цепочки поставок программного обеспечения, которые видел исследователь.

Расследование выявило исключительно высокий уровень операционной безопасности Цзя Тана, в том числе использование VPN с сингапурским IP-адресом и отсутствие любых других следов в интернете. Такой подход подчёркивает серьёзность его намерений, а также предположение о том, что за этим именем скрывается выдуманная личность. С момента обнаружения бэкдора в XZ Utils Цзя Тан бесследно исчез, а его аккаунт на GitHub был заблокирован.

Сообщается, что Цзя Тан внёс около 6 000 изменений в код как минимум семи разных проектов между 2021 и февралём 2024 года. Определение всех последствий этих многочисленных изменений представляется экспертам почти невозможным, так как в случае с XZ Utils вредоносный код был так сильно обфусцирован, что выявить его помогла счастливая случайность.

Кто знает, сколько ещё открытых продуктов пострадали из-за вмешательства Цзя Тана и прочих государственно спонсируемых хакеров, поставивших себе чёткую цель скомпрометировать цепочки поставок. Наверняка по всему GitHub наберётся ещё как минимум несколько подобных профилей, где коварные хакеры орудуют под личиной добропорядочных разработчиков, однако едва ли у специалистов получится быстро выявить все такие профили, если получится вовсе.

Буквально вчера мы сообщали о бесплатном онлайн-сканере бинарных файлов, разработанным компанией Binarly, который способен выявлять файлы Linux, подверженных влиянию атаки на цепочку поставок в утилитах XZ Utils.

Будем надеяться, что специалисты безопасности смогут разработать аналогичный автоматический инструмент для сканирования исходного кода затронутых проектов, чтобы выявить другие угрозы, которые наверняка есть, и обезопасить таким образом как разработчиков, так и конечных пользователей.