El misterio de ‘Jia Tan’, el cerebro detrás de la puerta trasera del XZ – MundoDaily

En última instancia, Scott sostiene que estos tres años de cambios de código y correos electrónicos corteses probablemente no se dedicaron a sabotear varios proyectos de software, sino más bien a construir un historial de credibilidad en preparación para el sabotaje de XZ Utils específicamente, y potencialmente de otros proyectos en el futuro. «Nunca llegó a ese punto porque tuvimos suerte y encontramos sus cosas», dice Scott. “Así que eso ya está agotado y tendrá que volver al punto de partida”.

Marcas técnicas y zonas horarias.

A pesar de la personalidad de Jia Tan como individuo único, sus años de preparación son el sello distintivo de un grupo de hackers bien organizado y patrocinado por el estado, sostiene Raiu, ex investigador principal de Kaspersky. Lo mismo ocurre con las características técnicas del código malicioso XZ Utils que añadió Jia Tan. Raiu señala que, a primera vista, el código en realidad parece una herramienta de compresión. «Está escrito de una manera muy subversiva», dice. También es una puerta trasera «pasiva», dice Raiu, por lo que no llegaría a un servidor de comando y control que podría ayudar a identificar al operador de la puerta trasera. En cambio, espera a que el operador se conecte a la máquina de destino a través de SSH y se autentique con una clave privada, generada con una función criptográfica particularmente potente conocida como ED448.

El cuidadoso diseño de la puerta trasera podría ser obra de hackers estadounidenses, señala Raiu, pero sugiere que esto es poco probable, ya que EE. UU. normalmente no sabotearía proyectos de código abierto y, si lo hiciera, la NSA probablemente utilizaría un sistema criptográfico resistente a hackeos. función cuántica. , que ED448 no lo es. Esto deja a los grupos no estadounidenses con un historial de ataques a la cadena de suministro, sugiere Raiu, como el APT41 de China, el Grupo Lazarus de Corea del Norte y el APT29 de Rusia.

A primera vista, Jia Tan ciertamente parece del este de Asia, o debería serlo. La zona horaria de los compromisos de Jia Tan es UTC+8: esta es la zona horaria de China y sólo una hora diferente de la de Corea del Norte. Sin embargo, un análisis de dos investigadores, Rhea Karty y Simon Henniger, sugieren que es posible que Jia Tan simplemente haya cambiado la zona horaria de su computadora a UTC+8 antes de cada confirmación. De hecho, se realizaron varias confirmaciones con una computadora configurada en una zona horaria de Europa del Este, tal vez cuando Jia Tan olvidó hacer el cambio.

«Otro indicio de que no son de China es el hecho de que han trabajado en importantes días festivos chinos», dicen Karty y Henniger, estudiantes de Dartmouth College y TU Munich, respectivamente. Boehs, el promotor, añade que gran parte del trabajo comienza a las 9 de la mañana y termina a las 5 de la tarde en las zonas horarias de Europa del Este. «El lapso de tiempo de los compromisos sugiere que este no fue un proyecto que hicieron fuera del trabajo», dice Boehs.

Todas estas pistas conducen a Rusia, y específicamente al grupo de hackers APT29 de Rusia, sostiene Dave Aitel, ex hacker de la NSA y fundador de la firma de ciberseguridad Immunity. Aitel señala que APT29, que se cree que trabaja para la agencia de inteligencia extranjera de Rusia conocida como SVR, tiene una reputación de cuidado técnico que pocos grupos de hackers demuestran. APT29 también ejecutó el compromiso de Solar Winds, quizás el ataque a la cadena de suministro de software más hábilmente coordinado y efectivo de la historia. Esta operación está mucho más en consonancia con el estilo de la puerta trasera de XZ Utils que los ataques más crudos a la cadena de suministro de APT41 o Lazarus, en comparación.

“Es muy posible que se trate de otra persona”, afirma Aitel. «Pero quiero decir, si estás buscando las operaciones maliciosas más sofisticadas del planeta, estos serán nuestros queridos amigos en SVR».

Los investigadores de seguridad coinciden, al menos, en que es poco probable que Jia Tan sea una persona real, o incluso una persona que trabaje sola. En cambio, parece claro que la persona era la encarnación en línea de una nueva táctica de una organización nueva y bien organizada, y que casi funcionó. Esto significa que deberíamos esperar ver a Jia Tan regresar con otros nombres: contribuyentes aparentemente educados y entusiastas a proyectos de código abierto, ocultando las intenciones secretas de un gobierno en sus compromisos de código.