Em 29 de março, O desenvolvedor de software da Microsoft, Andres Freund, estava tentando otimizar o desempenho de seu computador quando percebeu que um programa estava usando uma quantidade inesperada de poder de processamento. Freund mergulhou para solucionar problemas e “fiquei desconfiado.”
Eventualmente, Freund encontrou a origem do problema, que posteriormente postou em uma lista de discussão de segurança: Ele tinha descobriu uma porta dos fundos no XZ Utils, um utilitário de compactação de dados usado por uma ampla gama de vários aplicativos de computador baseados em Linux – uma constelação de software de código aberto que, embora muitas vezes não voltado para o consumidor, sustenta funções importantes de computação e Internet, como comunicações seguras entre máquinas.
Ao detectar inadvertidamente o backdoor, que estava profundamente enterrado no código em arquivos de teste binários, Freund evitou uma catástrofe de segurança em grande escala. Qualquer máquina executando um sistema operacional que incluísse o utilitário backdoor e atendesse às especificações estabelecidas no código malicioso estaria vulnerável a comprometimento, permitindo que um invasor potencialmente assumisse o controle do sistema.
O backdoor XZ foi introduzido por meio do que é conhecido como ataque à cadeia de suprimentos de software, que o Centro Nacional de Contrainteligência e Segurança define como “atos deliberados dirigidos contra as próprias cadeias de fornecimento de produtos de software”. Os ataques muitas vezes empregam formas complexas de alterar o código-fonte dos programas, como obter acesso não autorizado ao sistema de um desenvolvedor ou através de um insider mal-intencionado com acesso legítimo.
O código malicioso no XZ Utils foi introduzido por um usuário que se autodenomina Jia Tan, empregando o identificador JiaT75de acordo com Ars Técnica e Com fio. Tan tem contribuído para o projeto XZ desde pelo menos final de 2021 e construiu confiança com a comunidade de desenvolvedores que trabalham nele. Eventualmente, embora o exato a linha do tempo não está clara, Tan ascendeu a co-mantenedor do projeto, ao lado do fundador, Lasse Collin, permitindo que Tan adicionasse código sem precisar que as contribuições fossem aprovadas. (Nem Tan nem Collin responderam aos pedidos de comentários.)
O backdoor do XZ revela uma operação sofisticada e meticulosa. Primeiro, quem liderou o ataque identificou um software que seria incorporado em uma vasta gama de sistemas operacionais Linux. O desenvolvimento deste utilitário técnico amplamente utilizado carecia de pessoal, com um único mantenedor principal, Collin, que mais tarde admitiu que não era capaz de manter o XZ, proporcionando a oportunidade para outro desenvolvedor intervir. anos, Tan injetou um backdoor na concessionária. Todos esses movimentos foram sustentados por uma proficiência técnica que deu início à criação e incorporação do código backdoor real – um código sofisticado o suficiente para que a análise de sua funcionalidade e capacidade precisas ainda seja necessária. em andamento.
“O cuidado tomado para ocultar as explorações em arquivos de teste binários, bem como o tempo necessário para ganhar reputação no projeto de código aberto para explorá-lo posteriormente, são anormalmente sofisticados”, disse Molly, administradora de sistema da Electronic Frontier Foundation que vai por um monônimo. “No entanto, ainda não há qualquer indicação se isso foi patrocinado pelo Estado, um grupo de hackers, um desenvolvedor desonesto ou qualquer combinação dos itens acima.”
A ascensão de Tan a co-mantenedor aconteceu principalmente em um grupo de e-mail onde desenvolvedores de código – no espírito colaborativo e de código aberto da família de sistemas operacionais Linux – trocam ideias e traçam estratégias para construir aplicativos.
Em uma lista de e-mail, Collin enfrentou uma série de reclamações. Um grupo de usuários, relativamente novos no projeto, protestou que Collin estava ficando para trás e não fazia atualizações no software com rapidez suficiente. Ele deveria, disseram alguns desses usuários, entregar o controle do projeto; alguns pediram explicitamente a adição de outro mantenedor. Admitindo que não conseguia mais dedicar atenção suficiente ao projeto, Collin nomeou Tan como co-mantenedor.
Os usuários envolvidos nas reclamações pareciam se materializar do nada – postando suas mensagens no que parecem ser contas Proton Mail criadas recentemente e depois desaparecendo. Toda a sua presença online está relacionada com estas breves interações na mailing list dedicada ao XZ; seu único interesse registrado é introduzir rapidamente atualizações no software.
Várias agências de inteligência dos EUA recentemente manifestou interesse em endereçamento ataques à cadeia de fornecimento de software. A Agência de Segurança Cibernética e de Infraestrutura entrou em ação após a descoberta de Freund, publicando um alerta sobre o backdoor do XZ em 29 de março, mesmo dia em que Freund postou publicamente sobre ele.
Players de código aberto
No mundo de código aberto da programação Linux — e no desenvolvimento do XZ Utils — a colaboração é realizada por meio de grupos de e-mail e repositórios de código. Tan postou na lista, conversou com Collin e contribuiu com alterações de código no repositório de código Github, que é de propriedade da Microsoft. Desde então, o GitHub desativou o acesso ao repositório XZ e desativou a conta de Tan. (Em fevereiro, The Intercept e outras empresas de notícias digitais processou a Microsoft e seu parceiro OpenAI por usar seu jornalismo sem permissão ou crédito.)
Várias outras figuras na lista de e-mail participaram de esforços – parecendo difusos, mas coincidentes em seus objetivos e momento – para instalar o novo co-mantenedor, às vezes pressionando particularmente por Tan.
Mais tarde, em uma lista dedicada ao Debian, um dos sistemas operacionais mais populares da família Linux, outro grupo de usuários defendeu que a versão backdoor do XZ Utils fosse incluída na distribuição do sistema operacional.
Esses grupos dedicados desempenharam papéis distintos: em um caso, reclamaram da falta de progresso no XZ Utils e pressionaram por atualizações mais rápidas instalando um novo co-mantenedor; e, no outro caso, pressionar para que versões atualizadas sejam distribuídas de forma rápida e ampla.
“Acho que as múltiplas contas verdes que parecem coordenar objetivos específicos em momentos importantes se enquadram no padrão de uso de redes de contas meias para engenharia social que temos visto em todas as mídias sociais”, disse Molly, administradora do sistema EFF. “É muito possível que o desenvolvedor desonesto, o grupo de hackers ou o patrocinador estatal tenham empregado essa tática como parte de seu plano para introduzir a porta dos fundos. Claro, também é possível que sejam apenas coincidências.”
O padrão parece enquadrar-se no que é conhecido no jargão da inteligência como “gestão de personalidade”, a prática de criar e subsequentemente manter múltiplas identidades fictícias. A documento vazado do empreiteiro de defesa HBGary Federal descreve a meticulosidade que pode ser necessária para manter essas personas fictícias, incluindo a criação de uma elaborada pegada online – algo que estava decididamente faltando nas contas envolvidas na linha do tempo XZ.
Embora esses outros usuários usassem e-mails diferentes, em alguns casos eles usaram provedores que fornecem pistas sobre quando suas contas foram criadas. Quando eles usaram contas Proton Mail, por exemplo, as chaves de criptografia associadas a essas contas foram criadas no mesmo dia, ou poucos dias antes, das primeiras postagens dos usuários no grupo de e-mail. (No entanto, os usuários também podem gerar novas chaves, o que significa que os endereços de e-mail podem ser mais antigos que as chaves atuais.)
Um dos primeiros usuários da lista usou o nome Jigar Kumar. Kumar aparece na lista de discussão de desenvolvimento do XZ em abril de 2022, reclamando que alguns recursos da ferramenta são confusos. Tan respondeu prontamente ao comentário. (Kumar não respondeu a um pedido de comentário.)
Kumar apareceu repetidamente com reclamações subsequentes, às vezes aumentando o descontentamento dos outros. Depois Dennis Ens apareceu na mesma mailing list, Ens também reclamou da falta de resposta a uma de suas mensagens. Collin reconheceu que as coisas estavam se acumulando e mencionou que Tan o estava ajudando a sair da lista; ele poderá em breve ter “um papel maior na XZ Utils”. (Ens não respondeu a um pedido de comentário.)
Após outra reclamação de Kumar pedindo um novo mantenedor, Collin respondeu: “Não perdi o interesse, mas minha capacidade de cuidar tem sido bastante limitada, principalmente devido a problemas de saúde mental de longo prazo, mas também devido a outras coisas. Recentemente trabalhei um pouco fora da lista com Jia Tan no XZ Utils e talvez ele tenha um papel maior no futuro, veremos.”
A pressão continuou chegando. “Como sugeri em e-mails anteriores, Jia Tan pode ter um papel maior no projeto no futuro”, respondeu Collin depois que Ens sugeriu que ele transferisse algumas responsabilidades. “Ele tem ajudado muito fora da lista e já é praticamente co-mantenedor. :-)”
Ens então ficou quieto por dois anos – ressurgindo na época em que a maior parte do código backdoor malicioso foi instalada no software XZ. Ens continuou pedindo atualizações cada vez mais rápidas.
Depois que Collin finalmente fez de Tan um co-mantenedor, houve um esforço subsequente para que o XZ Utils – que agora tinha o backdoor – fosse amplamente distribuído. Depois de aparecer pela primeira vez no repositório XZ GitHub em junho de 2023, outra figura que se autodenomina Hans Jansen partiu em março para pressionar para que a nova versão do XZ fosse incluída no Debian Linux. (Jansen não respondeu a um pedido de comentário.)
Um funcionário da Red Hat, uma empresa de software de propriedade da IBM, que patrocina e ajuda a manter o Fedora, outro sistema operacional Linux popular, descrito Tan tentando convencê-lo a ajudar a adicionar o XZ Utils comprometido ao Fedora.
Esses populares sistemas operacionais Linux são responsáveis por milhões de usuários de computador – o que significa que um grande número de usuários estaria aberto a concessões se Freund, o desenvolvedor, não tivesse descoberto o backdoor.
“Embora a possibilidade de backdoors de engenharia social em software crítico pareça uma acusação aos projetos de código aberto, ela não é exclusiva do código aberto e pode acontecer em qualquer lugar”, disse Molly. “Na verdade, a capacidade do engenheiro de descobrir esse backdoor antes de ele ser enviado só foi possível devido à natureza aberta do projeto.”