Al final, sostiene Scott, esos tres años de cambios de código y correos electrónicos corteses probablemente no se dedicaron a sabotear múltiples proyectos de software, sino a construir una historia de credibilidad en preparación para sabotear XZ Utils específicamente, y tal vez otros proyectos en el futuro. «Nunca llegó a ese paso porque tuvimos suerte y encontramos sus cosas», dice Scott. «Ahora está agotado y tendrá que volver al punto de partida».
Marcas técnicas y husos horarios
A pesar de la personalidad de Jia Tan como individuo, su preparación a lo largo de años es el sello distintivo de un grupo de hackers bien organizado y patrocinado por el estado, dice Rayu, ex investigador principal de Kaspersky. Y también lo son las características técnicas distintivas del código malicioso XZ Utils agregado por Jia Tan. Rayo señala que el código, a primera vista, realmente parece una herramienta de compresión. «Está escrito de una manera muy subversiva», dice. También es una puerta trasera «pasiva», dice Rayo, por lo que no llegará al servidor de comando y control que podría ayudar a identificar al operador de la puerta trasera. En cambio, espera a que el operador se conecte al dispositivo de destino a través de SSH y se autentica con una clave privada, que se genera mediante una función de cifrado particularmente fuerte conocida como ED448.
Rayo sugiere que el diseño exacto de la puerta trasera podría ser obra de piratas informáticos estadounidenses, pero señala que esto es poco probable, porque Estados Unidos no suele sabotear proyectos de código abierto y, si lo hiciera, la NSA probablemente utilizaría cifrado resistente a los cuánticos. . función, que ED448 no es. Esto deja a los grupos no estadounidenses con un historial de ataques a la cadena de suministro, como el APT41 de China, el Grupo Lazarus de Corea del Norte y el APT29 de Rusia, señala Rayo.
A primera vista, Jia Tan ciertamente parece del este de Asia, o se supone que lo es. La zona horaria de los compromisos de Jia Tan es UTC+8: esta es la zona horaria de China, y está a sólo una hora de la zona horaria de Corea del Norte. Sin embargo, un Análisis de dos investigadoresRhea Carty y Simon Henniger sugieren que Jia Tan simplemente cambió la zona horaria de su computadora a UTC+8 antes de cada confirmación. De hecho, muchas de las confirmaciones se realizaron utilizando una computadora configurada en una zona horaria de Europa del Este, tal vez cuando Jia Tan olvidó hacer el cambio.
«Otro indicador de que no son de China es el hecho de que trabajaron en días festivos chinos destacados», dicen Carty y Henniger, estudiantes del Dartmouth College y la Universidad Técnica de Munich, respectivamente. El desarrollador Boehs añade que gran parte del trabajo comienza a las 9 a.m. y termina a las 5 p.m. en las zonas horarias de Europa del Este. «El cronograma de los compromisos sugiere que este no fue un proyecto que hicieron fuera del negocio», dice Buhs.
Todas estas pistas nos llevan a Rusia, específicamente al grupo de hackers ruso APT29, dice Dave Aitel, ex hacker de la NSA y fundador de la firma de ciberseguridad Immunity. APT29, que se cree que trabaja para la agencia de inteligencia exterior de Rusia, conocida como SVR, tiene una reputación de patrocinio técnico del tipo que pocos otros grupos de hackers muestran, señala Aitel. APT29 también llevó a cabo el hackeo de Solar Winds, que es quizás el ataque más coordinado y eficaz a una cadena de suministro de software de la historia. En comparación, este proceso coincide mucho más con el enfoque de puerta trasera de XZ Utils que con los ataques a la cadena de suministro más primitivos de APT41 o Lazarus.
“Podría ser otra persona”, dice Aitel. «Pero quiero decir, si estás buscando los ataques a la cadena de suministro más sofisticados del planeta, esos serían nuestros buenos amigos en SVR».
Los investigadores de seguridad coinciden, al menos, en que es poco probable que Jia Tan sea una persona real, o incluso una persona que actúe sola. En cambio, parece claro que el personaje era la encarnación en línea de una nueva táctica de una organización nueva y bien organizada, una que casi funcionó. Esto significa que deberíamos esperar que Jia Tan regrese con otros nombres: contribuyentes aparentemente educados y entusiastas a proyectos de código abierto, que ocultan intenciones secretas del gobierno en sus compromisos de código.
«Típico pionero de la cerveza. Aficionado a la web amigable con los hipsters. Fanático certificado del alcohol. Adicto a Internet. Exasperantemente humilde amante de los zombis».