Скрытая атака была близка к тому, чтобы поставить под угрозу компьютеры всего мира
краудсорсинговый код Интернета предельно уязвим
В 2020 году популярный онлайн-комикс xkcd опубликовал карикатуру, изображающую шаткое расположение блоков с надписью: “вся современная цифровая инфраструктура”. На самом дне, ненадежно удерживая все, возвышался одинокий тонкий кирпич: “Проект, который какой-то случайный человек в Небраске неблагодарно поддерживает с 2003 года”. Иллюстрация быстро стала культовой среди тех, кто разбирается в технике, поскольку она высветила суровую истину: программное обеспечение, лежащее в основе Интернета, поддерживается не гигантскими корпорациями или разросшейся бюрократией, а горсткой добросовестных добровольцев, трудящихся в безвестности. Паника из-за кибербезопасности, возникшая в последние дни, показывает, что результат может быть близок к катастрофе.
29 марта Андрес Фройнд, инженер Microsoft, опубликовал небольшую детективную историю. В последние недели он заметил, что ssh — система для безопасного входа на другое устройство через Интернет — работает примерно на 500 миллисекунд медленнее, чем ожидалось. Более тщательная проверка выявила вредоносный код, внедренный в xz Utils, программное обеспечение, предназначенное для сжатия данных, используемых в операционной системе Linux, которая работает практически на всех общедоступных интернет-серверах. Эти серверы в конечном итоге обеспечивают работу Интернета, включая жизненно важные финансовые и правительственные службы. Вредоносный код мог служить “главным ключом”, позволяющим злоумышленникам красть зашифрованные данные или внедрять другие вредоносные программы.
Самое интересное в этой истории - как он туда попал. xz Utils - это программное обеспечение с открытым исходным кодом, что означает, что его код является общедоступным и может быть проверен или изменен кем угодно. В 2022 году Лассе Коллин, разработчик, который поддерживал его, обнаружил, что его “неоплачиваемый хобби-проект” становится все более обременительным из-за долгосрочных проблем с психическим здоровьем. Разработчик по имени Цзя Тан, который создал учетную запись годом ранее, предложил свою помощь. В течение более чем двух лет он, она или они сотни раз предоставляли полезный код, укрепляя доверие. В феврале они тайно внедрили вредоносное ПО.
Значение атаки “огромно”, - говорит Grugq, независимый исследователь безопасности под псевдонимом, которого широко читают эксперты по кибербезопасности. “Бэкдор очень своеобразен в том, как он реализован, но это действительно умная штука и очень скрытная” — возможно, даже слишком скрытная, предполагает он, потому что некоторые шаги, предпринятые в коде для сокрытия его истинного назначения, возможно, замедлили его работу и тем самым вызвали тревогу мистера Фрейнда. <....>
Однако на данный момент улики слишком слабы, чтобы найти виновного.
Эта атака, пожалуй, является самой масштабной за последнее время атакой “по цепочке поставок”, которая использует не конкретный компьютер или устройство, а часть серверного программного или аппаратного обеспечения. Это также наглядная иллюстрация хрупкости Интернета и краудсорсингового кода, на который он опирается. Для защитников программного обеспечения с открытым исходным кодом проницательность г-на Фройнда является подтверждением его предпосылки: код открыт, его может проверить любой, а ошибки или преднамеренные бэкдоры в конечном итоге будут обнаружены в результате коллективного изучения.
Он подозревает СВР, российскую службу внешней разведки, которая в 2019-2020 годах также взломала программное обеспечение для управления сетью SolarWinds Orion, чтобы получить широкий доступ к американским правительственным сетям.
Анализ, проведенный Реей Карти и Саймоном Хеннигером (Rhea Karty) и Саймоном Хеннигером (Simon Henniger), опубликованный на их сайте, предполагает, что Цзя Тан предпринял попытку изменить часовой пояс, но они, вероятно, на два—три часа опережали время по Гринвичу, что позволяет предположить, что они, возможно, находились в Восточной Европе или западной части России, и избегали работать в праздничные дни в Восточной Европе. Однако на данный момент улики слишком слабы, чтобы найти виновного.
Скептики менее уверены. Некоторые средства защиты кода и отладки действительно выявили аномалии в xz Utils, но г-н Фройнд признает “множество совпадений, которые должны были совпасть, чтобы обнаружить это”, включая ряд технических, но произвольных решений, которые он принял при устранении несвязанной проблемы. “Больше никто не высказывал опасений”, - пишет Кевин Бомонт, другой специалист по кибербезопасности. Инженеры-программисты все еще исследуют внутреннюю работу бэкдора, пытаясь понять его назначение и конструкцию. “Мир обязан Андресу неограниченным количеством бесплатного пива”, - заключает мистер Бомонт. “Он просто спасал всем задницы в свободное время”.
Атака была обнаружена и остановлена до того, как она смогла нанести серьезный ущерб. Невозможно определить, работал ли Цзя Тан или команда, которая, по-видимому, стоит за этим персонажем, над внедрением в другие важные части интернет-программного обеспечения под другими псевдонимами. Но исследователи в области безопасности обеспокоены тем, что основы Интернета созрели для подобных кампаний. “Суть в том, что мы тратим неисчислимые триллионы долларов на разработку кода любителями”, - отмечает Михал Залевски, эксперт. Другие бэкдоры могут все еще скрываться, не обнаруженные, в других частях критически важного программного обеспечения Интернета."
Если переводить с американского на человеческий, то месседжа три:
- амеры собираются грохнуть фришный и краудсорсинговый софт и начали подкоп под это дело, запугивая и без того зашуганное и обдолбанное население США у которого единственный свет в окне - Интернет
- демонизация русских переходит в горячую фазу. Русские - мировое зло, готовятся грохнуть интернет. Все дети мира будут плакать.
- Открытое объявление НАТО в Украине нужно чем то приукрасить...