Sandro Sana : 8 Aprile 2024 09:23
Una backdoor è una funzionalità nascosta in un software che permette a un attaccante di accedere a un sistema o a una rete senza essere rilevato. Spesso le backdoor sono inserite dagli stessi sviluppatori del software, per scopi di manutenzione o di test, ma possono anche essere introdotte da hacker che compromettono il codice sorgente o i processi di distribuzione.
Jia Tang è uno pseudonimo utilizzato da un individuo che ha introdotto una backdoor nel software di compressione dati XZ Utils, ampiamente utilizzato in sistemi operativi Linux. Questa backdoor è stata scoperta il 29 marzo 2024. Jia Tang era attivo su GitHub con il nome utente ‘JiaT75’ e ha inviato patch e richieste di pull a vari progetti open source prima che venisse scoperta la backdoor.
Secondo gli esperti di sicurezza informatica, dietro lo pseudonimo Jia Tang non c’è un singolo hacker, ma un intero gruppo, presumibilmente supportato da uno stato. Gli aggressori hanno utilizzato una strategia di infiltrazione a lungo termine in progetti open source, mirando a ottenere il controllo di software critici per il funzionamento di molti sistemi operativi e applicazioni.
 CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHCSei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Per più di un anno, gli hacker si sono preparati per questo attacco, assicurandosi che nessuno notasse nulla. Tuttavia, per qualche fortunata coincidenza, la backdoor è stata rilevata prima di riuscire a causare danni tangibili.
Nonostante ci siano state speculazioni sulla sua identità e residenza, non è stato possibile determinare con certezza queste informazioni a causa dell’uso di servizi VPN e altre tecniche di anonimato. La situazione ha sollevato discussioni significative sulla sicurezza del software open source e sulle misure di prevenzione per tali attacchi
Jia Tang ha iniziato le sue operazioni su GitHub nel novembre 2021, offrendo modifiche a uno dei prodotti open source. Negli anni successivi, lo sviluppatore è riuscito a intercettare in gran parte il controllo del progetto XZ Utils, sostituendo il mantainer originale, Lasse Collin. Ciò è stato possibile grazie alle lamentele di alcuni utenti riguardo al lento aggiornamento del progetto, i cui motivi rimangono poco chiari.
Jia Tang ha approfittato della situazione per proporre le sue patch, che contenevano la backdoor, e convincere gli altri collaboratori ad accettarle. La backdoor consisteva in una funzione che, se attivata da un comando specifico, avrebbe permesso a un attaccante remoto di eseguire codice arbitrario sul sistema bersaglio.
Kostin Rayu, ex ricercatore capo di Kaspersky Lab, suggerisce che Jia Tang è un gruppo sponsorizzato da un certo stato, interessato a condurre operazioni di spionaggio o sabotaggio informatico. Nonostante lo pseudonimo cinese dell’hacker, Rayu ritiene che sia troppo presto per fare ipotesi comprovate sul paese coinvolto, poiché l’uso di uno pseudonimo cinese potrebbe essere un tentativo deliberato di confondere le indagini.
In ogni caso, la scoperta della backdoor in XZ Utils solleva seri dubbi sulla sicurezza dei software open source, che sono spesso considerati più affidabili e trasparenti di quelli proprietari, ma che possono essere vulnerabili a manipolazioni nascoste da parte di attori malevoli.
Tuttavia, una cosa è chiara, secondo il parere di Rayu, questo è stato uno degli attacchi più sofisticati di tutti quelli precedenti alle catene di approvvigionamento software che il ricercatore aveva visto. L’indagine ha rivelato un livello eccezionalmente elevato di sicurezza operativa di Jia Tang, incluso l’utilizzo di una VPN con un indirizzo IP di Singapore e l’assenza di altre impronte su Internet. Questo approccio sottolinea la serietà delle sue intenzioni, così come l’assunto che questo nome sia un’identità fittizia. Dalla scoperta della backdoor in XZ Utils, Jia Tang è scomparsa senza lasciare traccia, e il suo account GitHub è stato bloccato.
È stato riferito che Jia Tang ha apportato circa 6.000 modifiche al codice di almeno sette progetti diversi tra il 2021 e il febbraio 2024. Determinare tutte le conseguenze di questi numerosi cambiamenti sembra quasi impossibile per gli esperti, poiché nel caso dell’XZ Utils, il codice maligno è stato così fortemente offuscato che è stato scoperto solo per un caso fortuito. Chissà quanti altri prodotti open source sono stati influenzati dall’intervento di Jia Tang e da altri hacker sponsorizzati dallo stato che hanno fissato un chiaro obiettivo di compromettere le catene di approvvigionamento. Probabilmente, su GitHub, esistono ancora almeno alcuni profili simili, in cui gli hacker insidiosi operano con il pretesto di buoni sviluppatori, ma è improbabile che gli specialisti identifichino rapidamente tutti questi profili, se ci riescono.
Proprio ieri, abbiamo segnalato uno scanner di file binari online gratuito sviluppato da Binarly, che è in grado di rilevare i file Linux infettati dalla backdoor in XZ Utils. Questo strumento può essere utile per verificare la sicurezza dei propri sistemi e prevenire possibili attacchi. Tuttavia, la difesa più efficace contro questo tipo di minacce è la vigilanza e la collaborazione tra gli sviluppatori e gli utenti di software open source, che devono monitorare costantemente le modifiche al codice e segnalare eventuali anomalie o sospetti.
La backdoor in XZ Utils è un caso emblematico di come la sicurezza informatica sia una sfida sempre più complessa e dinamica, che richiede una costante attenzione e aggiornamento da parte di tutti gli attori coinvolti. Il fatto che un software così diffuso e importante sia stato compromesso da un gruppo di hacker probabilmente supportato da uno stato, senza che nessuno se ne accorgesse per tanto tempo, è una dimostrazione di come le catene di approvvigionamento software siano un bersaglio privilegiato per gli attacchi informatici. Solo una maggiore consapevolezza, una migliore comunicazione e una maggiore trasparenza possono garantire la sicurezza e la fiducia nel software open source, che è una risorsa preziosa per la comunità e per l’innovazione.
Sandro SanaNonostante Internet Explorer sia ufficialmente fuori supporto dal giugno 2022, Microsoft ha recentemente dovuto affrontare una minaccia che sfrutta la modalità Internet Explorer (IE Mode) in Edge, pr...
Datacenter nello spazio, lander lunari, missioni marziane: il futuro disegnato da Bezos a Torino. Ma la vera rivelazione è l’aneddoto del nonno che ne svela il profilo umano Anche quest’anno Tori...
E’ stata individuata dagli analisti di Sophos, una complessa operazione di malware da parte di esperti in sicurezza, che utilizza il noto servizio di messaggistica WhatsApp come mezzo per diffondere...
È stata identificata una vulnerabilità critica nell’architettura di sicurezza hardware AMD SEV-SNP, che impatta i principali provider cloud (AWS, Microsoft Azure e Google Cloud). Tale bug consente...
Nel mondo della sicurezza informatica, dove ogni parola pesa e ogni concetto può diventare complesso, a volte basta un’immagine per dire tutto. Un meme, con la sua ironia tagliente e goliardica e l...
