Sandro Sana : 8 Aprile 2024 09:23
Una backdoor è una funzionalità nascosta in un software che permette a un attaccante di accedere a un sistema o a una rete senza essere rilevato. Spesso le backdoor sono inserite dagli stessi sviluppatori del software, per scopi di manutenzione o di test, ma possono anche essere introdotte da hacker che compromettono il codice sorgente o i processi di distribuzione.
Jia Tang è uno pseudonimo utilizzato da un individuo che ha introdotto una backdoor nel software di compressione dati XZ Utils, ampiamente utilizzato in sistemi operativi Linux. Questa backdoor è stata scoperta il 29 marzo 2024. Jia Tang era attivo su GitHub con il nome utente ‘JiaT75’ e ha inviato patch e richieste di pull a vari progetti open source prima che venisse scoperta la backdoor.
Secondo gli esperti di sicurezza informatica, dietro lo pseudonimo Jia Tang non c’è un singolo hacker, ma un intero gruppo, presumibilmente supportato da uno stato. Gli aggressori hanno utilizzato una strategia di infiltrazione a lungo termine in progetti open source, mirando a ottenere il controllo di software critici per il funzionamento di molti sistemi operativi e applicazioni.
Sei un Esperto di Formazione?
Entra anche tu nel Partner program!
Accedi alla sezione riservata ai Creator sulla nostra Academy e scopri i vantaggi riservati ai membri del Partner program.
Per ulteriori informazioni, scrivici ad [email protected] oppure su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Per più di un anno, gli hacker si sono preparati per questo attacco, assicurandosi che nessuno notasse nulla. Tuttavia, per qualche fortunata coincidenza, la backdoor è stata rilevata prima di riuscire a causare danni tangibili.
Nonostante ci siano state speculazioni sulla sua identità e residenza, non è stato possibile determinare con certezza queste informazioni a causa dell’uso di servizi VPN e altre tecniche di anonimato. La situazione ha sollevato discussioni significative sulla sicurezza del software open source e sulle misure di prevenzione per tali attacchi
Jia Tang ha iniziato le sue operazioni su GitHub nel novembre 2021, offrendo modifiche a uno dei prodotti open source. Negli anni successivi, lo sviluppatore è riuscito a intercettare in gran parte il controllo del progetto XZ Utils, sostituendo il mantainer originale, Lasse Collin. Ciò è stato possibile grazie alle lamentele di alcuni utenti riguardo al lento aggiornamento del progetto, i cui motivi rimangono poco chiari.
Jia Tang ha approfittato della situazione per proporre le sue patch, che contenevano la backdoor, e convincere gli altri collaboratori ad accettarle. La backdoor consisteva in una funzione che, se attivata da un comando specifico, avrebbe permesso a un attaccante remoto di eseguire codice arbitrario sul sistema bersaglio.
Kostin Rayu, ex ricercatore capo di Kaspersky Lab, suggerisce che Jia Tang è un gruppo sponsorizzato da un certo stato, interessato a condurre operazioni di spionaggio o sabotaggio informatico. Nonostante lo pseudonimo cinese dell’hacker, Rayu ritiene che sia troppo presto per fare ipotesi comprovate sul paese coinvolto, poiché l’uso di uno pseudonimo cinese potrebbe essere un tentativo deliberato di confondere le indagini.
In ogni caso, la scoperta della backdoor in XZ Utils solleva seri dubbi sulla sicurezza dei software open source, che sono spesso considerati più affidabili e trasparenti di quelli proprietari, ma che possono essere vulnerabili a manipolazioni nascoste da parte di attori malevoli.
Tuttavia, una cosa è chiara, secondo il parere di Rayu, questo è stato uno degli attacchi più sofisticati di tutti quelli precedenti alle catene di approvvigionamento software che il ricercatore aveva visto. L’indagine ha rivelato un livello eccezionalmente elevato di sicurezza operativa di Jia Tang, incluso l’utilizzo di una VPN con un indirizzo IP di Singapore e l’assenza di altre impronte su Internet. Questo approccio sottolinea la serietà delle sue intenzioni, così come l’assunto che questo nome sia un’identità fittizia. Dalla scoperta della backdoor in XZ Utils, Jia Tang è scomparsa senza lasciare traccia, e il suo account GitHub è stato bloccato.
È stato riferito che Jia Tang ha apportato circa 6.000 modifiche al codice di almeno sette progetti diversi tra il 2021 e il febbraio 2024. Determinare tutte le conseguenze di questi numerosi cambiamenti sembra quasi impossibile per gli esperti, poiché nel caso dell’XZ Utils, il codice maligno è stato così fortemente offuscato che è stato scoperto solo per un caso fortuito. Chissà quanti altri prodotti open source sono stati influenzati dall’intervento di Jia Tang e da altri hacker sponsorizzati dallo stato che hanno fissato un chiaro obiettivo di compromettere le catene di approvvigionamento. Probabilmente, su GitHub, esistono ancora almeno alcuni profili simili, in cui gli hacker insidiosi operano con il pretesto di buoni sviluppatori, ma è improbabile che gli specialisti identifichino rapidamente tutti questi profili, se ci riescono.
Proprio ieri, abbiamo segnalato uno scanner di file binari online gratuito sviluppato da Binarly, che è in grado di rilevare i file Linux infettati dalla backdoor in XZ Utils. Questo strumento può essere utile per verificare la sicurezza dei propri sistemi e prevenire possibili attacchi. Tuttavia, la difesa più efficace contro questo tipo di minacce è la vigilanza e la collaborazione tra gli sviluppatori e gli utenti di software open source, che devono monitorare costantemente le modifiche al codice e segnalare eventuali anomalie o sospetti.
La backdoor in XZ Utils è un caso emblematico di come la sicurezza informatica sia una sfida sempre più complessa e dinamica, che richiede una costante attenzione e aggiornamento da parte di tutti gli attori coinvolti. Il fatto che un software così diffuso e importante sia stato compromesso da un gruppo di hacker probabilmente supportato da uno stato, senza che nessuno se ne accorgesse per tanto tempo, è una dimostrazione di come le catene di approvvigionamento software siano un bersaglio privilegiato per gli attacchi informatici. Solo una maggiore consapevolezza, una migliore comunicazione e una maggiore trasparenza possono garantire la sicurezza e la fiducia nel software open source, che è una risorsa preziosa per la comunità e per l’innovazione.