La Backdoor nascosta in XZ Utils. Scopriamo com’è andata e chi potrebbe esserci dietro l’attacco

Una backdoor è una funzionalità nascosta in un software che permette a un attaccante di accedere a un sistema o a una rete senza essere rilevato. Spesso le backdoor sono inserite dagli stessi sviluppatori del software, per scopi di manutenzione o di test, ma possono anche essere introdotte da hacker che compromettono il codice sorgente o i processi di distribuzione.

Jia Tang è uno pseudonimo utilizzato da un individuo che ha introdotto una backdoor nel software di compressione dati XZ Utils, ampiamente utilizzato in sistemi operativi Linux. Questa backdoor è stata scoperta il 29 marzo 2024. Jia Tang era attivo su GitHub con il nome utente ‘JiaT75’ e ha inviato patch e richieste di pull a vari progetti open source prima che venisse scoperta la backdoor.

Chi è dietro l’attacco

Secondo gli esperti di sicurezza informatica, dietro lo pseudonimo Jia Tang non c’è un singolo hacker, ma un intero gruppo, presumibilmente supportato da uno stato. Gli aggressori hanno utilizzato una strategia di infiltrazione a lungo termine in progetti open source, mirando a ottenere il controllo di software critici per il funzionamento di molti sistemi operativi e applicazioni.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Per più di un anno, gli hacker si sono preparati per questo attacco, assicurandosi che nessuno notasse nulla. Tuttavia, per qualche fortunata coincidenza, la backdoor è stata rilevata prima di riuscire a causare danni tangibili.

Nonostante ci siano state speculazioni sulla sua identità e residenza, non è stato possibile determinare con certezza queste informazioni a causa dell’uso di servizi VPN e altre tecniche di anonimato. La situazione ha sollevato discussioni significative sulla sicurezza del software open source e sulle misure di prevenzione per tali attacchi

Come è stata inserita la backdoor

Jia Tang ha iniziato le sue operazioni su GitHub nel novembre 2021, offrendo modifiche a uno dei prodotti open source. Negli anni successivi, lo sviluppatore è riuscito a intercettare in gran parte il controllo del progetto XZ Utils, sostituendo il mantainer originale, Lasse Collin. Ciò è stato possibile grazie alle lamentele di alcuni utenti riguardo al lento aggiornamento del progetto, i cui motivi rimangono poco chiari.

Jia Tang ha approfittato della situazione per proporre le sue patch, che contenevano la backdoor, e convincere gli altri collaboratori ad accettarle. La backdoor consisteva in una funzione che, se attivata da un comando specifico, avrebbe permesso a un attaccante remoto di eseguire codice arbitrario sul sistema bersaglio.

Quali sono le possibili implicazioni

Kostin Rayu, ex ricercatore capo di Kaspersky Lab, suggerisce che Jia Tang è un gruppo sponsorizzato da un certo stato, interessato a condurre operazioni di spionaggio o sabotaggio informatico. Nonostante lo pseudonimo cinese dell’hacker, Rayu ritiene che sia troppo presto per fare ipotesi comprovate sul paese coinvolto, poiché l’uso di uno pseudonimo cinese potrebbe essere un tentativo deliberato di confondere le indagini.

In ogni caso, la scoperta della backdoor in XZ Utils solleva seri dubbi sulla sicurezza dei software open source, che sono spesso considerati più affidabili e trasparenti di quelli proprietari, ma che possono essere vulnerabili a manipolazioni nascoste da parte di attori malevoli.

Come proteggersi da future minacce

Tuttavia, una cosa è chiara, secondo il parere di Rayu, questo è stato uno degli attacchi più sofisticati di tutti quelli precedenti alle catene di approvvigionamento software che il ricercatore aveva visto. L’indagine ha rivelato un livello eccezionalmente elevato di sicurezza operativa di Jia Tang, incluso l’utilizzo di una VPN con un indirizzo IP di Singapore e l’assenza di altre impronte su Internet. Questo approccio sottolinea la serietà delle sue intenzioni, così come l’assunto che questo nome sia un’identità fittizia. Dalla scoperta della backdoor in XZ Utils, Jia Tang è scomparsa senza lasciare traccia, e il suo account GitHub è stato bloccato.

È stato riferito che Jia Tang ha apportato circa 6.000 modifiche al codice di almeno sette progetti diversi tra il 2021 e il febbraio 2024. Determinare tutte le conseguenze di questi numerosi cambiamenti sembra quasi impossibile per gli esperti, poiché nel caso dell’XZ Utils, il codice maligno è stato così fortemente offuscato che è stato scoperto solo per un caso fortuito. Chissà quanti altri prodotti open source sono stati influenzati dall’intervento di Jia Tang e da altri hacker sponsorizzati dallo stato che hanno fissato un chiaro obiettivo di compromettere le catene di approvvigionamento. Probabilmente, su GitHub, esistono ancora almeno alcuni profili simili, in cui gli hacker insidiosi operano con il pretesto di buoni sviluppatori, ma è improbabile che gli specialisti identifichino rapidamente tutti questi profili, se ci riescono.

Proprio ieri, abbiamo segnalato uno scanner di file binari online gratuito sviluppato da Binarly, che è in grado di rilevare i file Linux infettati dalla backdoor in XZ Utils. Questo strumento può essere utile per verificare la sicurezza dei propri sistemi e prevenire possibili attacchi. Tuttavia, la difesa più efficace contro questo tipo di minacce è la vigilanza e la collaborazione tra gli sviluppatori e gli utenti di software open source, che devono monitorare costantemente le modifiche al codice e segnalare eventuali anomalie o sospetti.

La backdoor in XZ Utils è un caso emblematico di come la sicurezza informatica sia una sfida sempre più complessa e dinamica, che richiede una costante attenzione e aggiornamento da parte di tutti gli attori coinvolti. Il fatto che un software così diffuso e importante sia stato compromesso da un gruppo di hacker probabilmente supportato da uno stato, senza che nessuno se ne accorgesse per tanto tempo, è una dimostrazione di come le catene di approvvigionamento software siano un bersaglio privilegiato per gli attacchi informatici. Solo una maggiore consapevolezza, una migliore comunicazione e una maggiore trasparenza possono garantire la sicurezza e la fiducia nel software open source, che è una risorsa preziosa per la comunità e per l’innovazione.

Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Sandro Sana

Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

Visita il sito web dell'autore