Ivan JAKIĆ

1. april 2024.

Programer iz kompanije Microsoft je „otreznio” svet otkrivanjem skrivenog i zloćudnog kôda, skrivenog u alatki za upravljanje arhiviranim fajlovima — xz Utils. Alatka predstavlja standard u svetu otvorenog kôda, te se može pronaći, i lako je dostupna, u svim Unix operativnim sistemima. Pretpostavlja se da je razvoj štetne aplikacije trajao godinama i dovodio do ovog momenta, koji je potencijalno mogao da označava tačku zaražavanja čitavog digitalnog sveta. Nedelje su delile nadogradnju od spajanja u Debian i Red Hat produkcijske grane, ali je pronicljivost programera sprečila potencijalnu katastrofu.

Smatra se najbolje isplaniranim napadom sa košmarnim scenarijom, jer bi se, da je izveden, našao u biblioteci koju koristi devet odsto računara i servera na Linux pogon. Zaključci su doneseni nakon istraživanja sprovedenog tokom vikenda. Xz Utils se nalazi u svakom Linux menadžeru paketa i omogućava kompresiju podataka na svim operativnim sistemima Unix porodice. Osim što pruža pomenute funkcionalnosti, alatka podržava ključni format karakterističan za Unix — .lzma.

Andres Freund, inženjer zadužen za PostgreSQL u kompaniji Microsoft, je u toku svoje misije pronalaženja uzroka problema sa performansama njihovog proizvoda na Debian sistemu, a tiču se SSH protokola, uvideo neuobičajene parametre. Koristeći alatku valgrind, shvatio je da SSH logovanja koriste previše procesorskih ciklusa, pa su kao posledica iznova generisane greške u log fajlovima. 

Kombinacijom čiste sreće i izuzetne moći zapažanja, otkrio je da su problemi proizvedeni nadogradnjama alatke xz Utils. Programer je u petak preneo rezultate svog istraživanja, naglašavajući da je neko namerno podmetnuo backdoor u program za kompresovanje fajlova.

Maliciozni kôd dodat u verzije 5.6.0 i 5.6.1 je modifikovao način na koji alatka rukovodi operacijama kompresije i dekompresije fajlova sa lzma ekstenzijom. Kada su funkcije podrazumevale korišćenje SSH protokola, zlonamerni kôd se automatski izvršava sa root (administratorskim) privilegijama. Ukoliko neko poseduje unapred generisani enkripcijski ključ, mogao bi da ga iskoristi za pristup inficiranom sistemu putem SSH konekcije. Ta osoba bi nadalje imala potpunu administratorsku kontrolu nad računarom. 

Backdoor je razvijan godinama. Korisnik sa nadimkom JiaT75 je 2021. godine doprineo projektu otvorenog kôda svojim prvim commitom na GitHub platformi. Posmatrano današnjim očima, promena jeste bila sumnjiva, jer je zamenila funkciju safe_fprint manje bezbednom, što nije primećeno tada. Naredne godine isti korisnik je priložio patch putem xz Utils mejling liste, da bi se nakon toga diskusiji pridružio do sada neviđeni učesnik projekta Jigar Kumar. Udruženim snagama, nekolicina korisnika je ubedila programera i stvaraoca alatke, Lase Kolina (Lasse Collin), da ne vrši nadogradnju programa dovoljno često, što ga je navelo da uposli dodatnog programera.

JiaT75 je u januaru 2023. godine izvršio prvi zvanični commit direktno na xz Utils repozitorijum. Koristeći svoje pravo ime, Jia Tan se u narednom periodu nametnuo kao vodeći član projekta, zamenivši Kolinsove kontakt–informacije svojim na projektu oss-fuzz, zaduženom za skeniranje ranjivosti projekata otvorenog kôda. Tan je potom zahtevao onemogućavanje ifunc fukncije tokom faze testiranja — promena koja je „oslepela” skener i omogućila zlonamernim izmenama da prođu provere. 

Februarska nadogradnja je označila početak backdoor implementacije. Tan je pisao programerima operativnih sistema Ubuntu, Debian i Red Hat, tražeći spajanje u mainstream nadogranje sistema. Jedna od dve nadogradnje su uspele da se probiju do određenih distribucija, na kratak vremenski period. 

Uzimajući u obzir da je Jia Tan postao odgovoran za ovako rasprostranjeno parče softvera „preko noći”, čudno je da ne postoje nikakve informacije u vezi sa njim. Dilema je čak da li je Tan ljudsko biće.