Em última análise, Scott argumenta que esses três anos de mudanças de código e e-mails educados provavelmente não foram gastos sabotando vários projetos de software, mas sim construindo um histórico de credibilidade em preparação para a sabotagem do XZ Utils especificamente – e potencialmente de outros projetos no futuro. “Ele nunca chegou a esse ponto porque tivemos sorte e encontramos as coisas dele”, diz Scott. “Então isso está queimado agora e ele terá que voltar à estaca zero.”
Marcações técnicas e fusos horários
Apesar da personalidade de Jia Tan como um único indivíduo, a sua preparação de anos é uma marca registrada de um grupo de hackers bem organizado e patrocinado pelo Estado, argumenta Raiu, o ex-pesquisador principal da Kaspersky. O mesmo ocorre com as características técnicas do código malicioso XZ Utils que Jia Tan adicionou. Raiu observa que, à primeira vista, o código realmente parece uma ferramenta de compactação. “Está escrito de uma maneira muito subversiva”, diz ele. É também um backdoor “passivo”, diz Raiu, portanto, não alcançaria um servidor de comando e controle que pudesse ajudar a identificar o operador do backdoor. Em vez disso, ele espera que o operador se conecte à máquina de destino via SSH e se autentique com uma chave privada – gerada com uma função criptográfica particularmente forte conhecida como ED448.
O design cuidadoso do backdoor poderia ser obra de hackers dos EUA, observa Raiu, mas ele sugere que isso é improvável, já que os EUA normalmente não sabotariam projetos de código aberto – e se o fizessem, a Agência de Segurança Nacional provavelmente usaria um sistema criptográfico resistente a quantum. função, que ED448 não é. Isso deixa grupos não americanos com um histórico de ataques à cadeia de abastecimento, sugere Raiu, como APT41 da China, Grupo Lazarus da Coreia do Nortee APT29 da Rússia.
À primeira vista, Jia Tan certamente parece do Leste Asiático – ou deveria ser. O fuso horário dos commits de Jia Tan é UTC+8: esse é o fuso horário da China e apenas uma hora de diferença em relação ao da Coreia do Norte. No entanto, um análise de dois pesquisadores, Rhea Karty e Simon Henniger, sugerem que Jia Tan pode simplesmente ter alterado o fuso horário de seu computador para UTC+8 antes de cada commit. Na verdade, vários commits foram feitos com um computador configurado para um fuso horário do Leste Europeu, talvez quando Jia Tan se esqueceu de fazer a alteração.
“Outra indicação de que não são da China é o facto de terem trabalhado em feriados chineses notáveis”, dizem Karty e Henniger, estudantes do Dartmouth College e da Universidade Técnica de Munique, respetivamente. Boehs, o desenvolvedor, acrescenta que grande parte do trabalho começa às 9h e termina às 17h para os fusos horários do Leste Europeu. “O intervalo de tempo dos commits sugere que este não foi um projeto que eles realizaram fora do trabalho”, diz Boehs.
Todas essas pistas levam à Rússia, e especificamente ao grupo de hackers APT29 da Rússia, argumenta Dave Aitel, um ex-hacker da NSA e fundador da empresa de segurança cibernética Immunity. Aitel salienta que o APT29 – que se acredita que trabalha para a agência de inteligência estrangeira da Rússia, conhecida como SVR – tem uma reputação de cuidado técnico de um tipo que poucos outros grupos de hackers demonstram. APT29 também realizou o compromisso dos Ventos Solares, talvez o ataque à cadeia de fornecimento de software mais habilmente coordenado e eficaz da história. Essa operação corresponde muito mais ao estilo do backdoor do XZ Utils do que aos ataques mais grosseiros à cadeia de suprimentos do APT41 ou do Lazarus, em comparação.
“Pode muito bem ser outra pessoa”, diz Aitel. “Mas quero dizer, se você está procurando os ataques à cadeia de suprimentos mais sofisticados do planeta, esses serão nossos queridos amigos do SVR.”
Os pesquisadores de segurança concordam, pelo menos, que é improvável que Jia Tan seja uma pessoa real, ou mesmo uma pessoa que trabalhe sozinha. Em vez disso, parece claro que a persona era a personificação online de uma nova tática de uma organização nova e bem organizada – uma tática que quase funcionou. Isso significa que devemos esperar ver Jia Tan retornar com outros nomes: colaboradores aparentemente educados e entusiasmados para projetos de código aberto, escondendo as intenções secretas de um governo em seus commits de código.