Red Hot Cyber

La cybersecurity è condivisione.
Riconosci il rischio, combattilo, condividi le tue esperienze ed 
incentiva gli altri a fare meglio di te.

Cerca

La Backdoor nascosta in XZ Utils. Scopriamo com’è andata e chi potrebbe esserci dietro l’attacco

Sandro Sana : 8 Aprile 2024 09:23

Una backdoor è una funzionalità nascosta in un software che permette a un attaccante di accedere a un sistema o a una rete senza essere rilevato. Spesso le backdoor sono inserite dagli stessi sviluppatori del software, per scopi di manutenzione o di test, ma possono anche essere introdotte da hacker che compromettono il codice sorgente o i processi di distribuzione.

Jia Tang è uno pseudonimo utilizzato da un individuo che ha introdotto una backdoor nel software di compressione dati XZ Utils, ampiamente utilizzato in sistemi operativi Linux. Questa backdoor è stata scoperta il 29 marzo 2024. Jia Tang era attivo su GitHub con il nome utente ‘JiaT75’ e ha inviato patch e richieste di pull a vari progetti open source prima che venisse scoperta la backdoor.

Chi è dietro l’attacco

Secondo gli esperti di sicurezza informatica, dietro lo pseudonimo Jia Tang non c’è un singolo hacker, ma un intero gruppo, presumibilmente supportato da uno stato. Gli aggressori hanno utilizzato una strategia di infiltrazione a lungo termine in progetti open source, mirando a ottenere il controllo di software critici per il funzionamento di molti sistemi operativi e applicazioni.

Supporta Red Hot Cyber attraverso

Per più di un anno, gli hacker si sono preparati per questo attacco, assicurandosi che nessuno notasse nulla. Tuttavia, per qualche fortunata coincidenza, la backdoor è stata rilevata prima di riuscire a causare danni tangibili.

Nonostante ci siano state speculazioni sulla sua identità e residenza, non è stato possibile determinare con certezza queste informazioni a causa dell’uso di servizi VPN e altre tecniche di anonimato. La situazione ha sollevato discussioni significative sulla sicurezza del software open source e sulle misure di prevenzione per tali attacchi

Come è stata inserita la backdoor

Jia Tang ha iniziato le sue operazioni su GitHub nel novembre 2021, offrendo modifiche a uno dei prodotti open source. Negli anni successivi, lo sviluppatore è riuscito a intercettare in gran parte il controllo del progetto XZ Utils, sostituendo il mantainer originale, Lasse Collin. Ciò è stato possibile grazie alle lamentele di alcuni utenti riguardo al lento aggiornamento del progetto, i cui motivi rimangono poco chiari.

Jia Tang ha approfittato della situazione per proporre le sue patch, che contenevano la backdoor, e convincere gli altri collaboratori ad accettarle. La backdoor consisteva in una funzione che, se attivata da un comando specifico, avrebbe permesso a un attaccante remoto di eseguire codice arbitrario sul sistema bersaglio.

Quali sono le possibili implicazioni

Kostin Rayu, ex ricercatore capo di Kaspersky Lab, suggerisce che Jia Tang è un gruppo sponsorizzato da un certo stato, interessato a condurre operazioni di spionaggio o sabotaggio informatico. Nonostante lo pseudonimo cinese dell’hacker, Rayu ritiene che sia troppo presto per fare ipotesi comprovate sul paese coinvolto, poiché l’uso di uno pseudonimo cinese potrebbe essere un tentativo deliberato di confondere le indagini.

In ogni caso, la scoperta della backdoor in XZ Utils solleva seri dubbi sulla sicurezza dei software open source, che sono spesso considerati più affidabili e trasparenti di quelli proprietari, ma che possono essere vulnerabili a manipolazioni nascoste da parte di attori malevoli.

Come proteggersi da future minacce

Tuttavia, una cosa è chiara, secondo il parere di Rayu, questo è stato uno degli attacchi più sofisticati di tutti quelli precedenti alle catene di approvvigionamento software che il ricercatore aveva visto. L’indagine ha rivelato un livello eccezionalmente elevato di sicurezza operativa di Jia Tang, incluso l’utilizzo di una VPN con un indirizzo IP di Singapore e l’assenza di altre impronte su Internet. Questo approccio sottolinea la serietà delle sue intenzioni, così come l’assunto che questo nome sia un’identità fittizia. Dalla scoperta della backdoor in XZ Utils, Jia Tang è scomparsa senza lasciare traccia, e il suo account GitHub è stato bloccato.

È stato riferito che Jia Tang ha apportato circa 6.000 modifiche al codice di almeno sette progetti diversi tra il 2021 e il febbraio 2024. Determinare tutte le conseguenze di questi numerosi cambiamenti sembra quasi impossibile per gli esperti, poiché nel caso dell’XZ Utils, il codice maligno è stato così fortemente offuscato che è stato scoperto solo per un caso fortuito. Chissà quanti altri prodotti open source sono stati influenzati dall’intervento di Jia Tang e da altri hacker sponsorizzati dallo stato che hanno fissato un chiaro obiettivo di compromettere le catene di approvvigionamento. Probabilmente, su GitHub, esistono ancora almeno alcuni profili simili, in cui gli hacker insidiosi operano con il pretesto di buoni sviluppatori, ma è improbabile che gli specialisti identifichino rapidamente tutti questi profili, se ci riescono.

Proprio ieri, abbiamo segnalato uno scanner di file binari online gratuito sviluppato da Binarly, che è in grado di rilevare i file Linux infettati dalla backdoor in XZ Utils. Questo strumento può essere utile per verificare la sicurezza dei propri sistemi e prevenire possibili attacchi. Tuttavia, la difesa più efficace contro questo tipo di minacce è la vigilanza e la collaborazione tra gli sviluppatori e gli utenti di software open source, che devono monitorare costantemente le modifiche al codice e segnalare eventuali anomalie o sospetti.

La backdoor in XZ Utils è un caso emblematico di come la sicurezza informatica sia una sfida sempre più complessa e dinamica, che richiede una costante attenzione e aggiornamento da parte di tutti gli attori coinvolti. Il fatto che un software così diffuso e importante sia stato compromesso da un gruppo di hacker probabilmente supportato da uno stato, senza che nessuno se ne accorgesse per tanto tempo, è una dimostrazione di come le catene di approvvigionamento software siano un bersaglio privilegiato per gli attacchi informatici. Solo una maggiore consapevolezza, una migliore comunicazione e una maggiore trasparenza possono garantire la sicurezza e la fiducia nel software open source, che è una risorsa preziosa per la comunità e per l’innovazione.

Sandro Sana
Laureato in Ingegneria Informatica e in Scienze della Comunicazione, si occupa d'Information Technology dal 1990, negli anni ha lavorato con aziende di diverso tipo dalle PMI alle Enterprise e la PA. Dal 2003 inizia ad interessarsi di comunicazione, PNL e Public Speaking. Nel 2014 si specializza in scouting e R&D di soluzioni in ambito Cybersecurity. CEH - EC-Council Certified Ethical Hacker, CIH EC-Council Certified Incident Handler, CISSP - Certified Information Systems Security Professional, relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro dell'Associazione Informatici Professionisti dal 2017 e Coordinatore per la regione Friuli-Venezia Giulia per AIP-ITCS. Membro CLUSIT e giornalista presso RedHot Cyber, Cybersecurity360 & Digital360. Consulente framework CIS, NIST e ENISA.
Categorie
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

Redazione: [email protected]
© Copyright RED HOT CYBER. PIVA 16821691009