Кіберзагроза, до якої, можливо, причетна Росія, показує, що краудсорсинговий код в інтернеті є вразливим
У 2020 році xkcd, популярний інтернет-комікс, опублікував карикатуру, що зображає хитке розташування блоків з етикеткою: “вся сучасна цифрова інфраструктура”. Внизу, тримаючи все це на собі, хитливо сиділа самотня тонка цеглина: “Проєкт, який якась випадкова людина в Небрасці невдячно підтримувала з 2003 року”. Ця ілюстрація швидко стала культовою класикою серед технічно мислячих людей, адже вона підкреслювала сувору правду: програмне забезпечення, що лежить в основі інтернету, підтримується не гігантськими корпораціями чи розгалуженими бюрократичними структурами, а жменькою сумлінних волонтерів, які працюють у невідомості. Загроза кібербезпеки, що виникла останніми днями, показує, як результат може бути близьким до катастрофи.
29 березня Андрес Фройнд, інженер з Microsoft, опублікував коротку детективну історію. Протягом останніх тижнів він помітив, що ssh – система для безпечного входу на інший пристрій через Інтернет – працює приблизно на 500 мілісекунд повільніше, ніж очікувалося. Більш детальний огляд виявив шкідливий код, вбудований глибоко в xz Utils, програмне забезпечення, призначене для стиснення даних, що використовуються в операційній системі Linux, яка працює практично на всіх загальнодоступних інтернет-серверах. Ці сервери, зрештою, лежать в основі інтернету, включаючи життєво важливі фінансові та державні послуги. Шкідливе програмне забезпечення слугувало “майстер-ключем”, що дозволяло зловмисникам викрадати зашифровані дані або впроваджувати інші шкідливі програми.
Найцікавіша частина історії – це те, як він туди потрапив. xz Utils – це програмне забезпечення з відкритим вихідним кодом, що означає, що його код є загальнодоступним і може бути перевірений або змінений будь-ким. У 2022 році Лассе Коллін, розробник, який підтримував його, виявив, що його “неоплачуваний хобі-проект” стає все більш обтяжливим на тлі довготривалих проблем з психічним здоров’ям. Розробник на ім’я Цзя Тан, який створив обліковий запис попереднього року, запропонував допомогу. Понад два роки вони сотні разів надавали корисний код, будуючи довірливі стосунки. У лютому вони контрабандою ввезли шкідливе програмне забезпечення.
Значення атаки “величезне”, каже The Grugq, незалежний дослідник безпеки під псевдонімом, який має велику популярність серед фахівців з кібербезпеки. “Бекдор дуже своєрідний за способом реалізації, але це дійсно розумна річ і дуже непомітна” – можливо, занадто непомітна, припускає він, оскільки деякі кроки, зроблені в коді, щоб приховати його справжню мету, могли сповільнити його роботу і, таким чином, викликати тривогу пана Фройнда. Терплячий підхід Цзя Тана, підтриманий кількома іншими свідченнями, які закликали пана Колліна передати естафету, натякає на витончену операцію державної агенції з розвідки людей, припускає The Grugq.
Він підозрює СВР, російську службу зовнішньої розвідки, яка у 2019-20 роках також скомпрометувала програмне забезпечення для управління мережею SolarWinds Orion, щоб отримати широкий доступ до американських урядових мереж. Аналіз Реї Карті та Саймона Хеннігера свідчить про те, що таємничий Цзя Тан намагався фальсифікувати свій часовий пояс, але, ймовірно, він на дві-три години випереджав середній час за Гринвічем – що вказує на те, що він міг перебувати у Східній Європі або на заході Росії – і уникав роботи у східноєвропейські свята. Однак наразі докази є занадто слабкими, щоб притягнути винуватця до відповідальності.
Ця атака є, мабуть, наймасштабнішою атакою “ланцюга постачання” – такою, що використовує не конкретний комп’ютер чи пристрій, а частину внутрішнього програмного чи апаратного забезпечення – за останній час. Вона також є яскравою ілюстрацією слабкості інтернету та краудсорсингового коду, на який він покладається. Для захисників програмного забезпечення з відкритим вихідним кодом орлиний погляд пана Фройнда є підтвердженням їхньої позиції: код відкритий, його може перевірити будь-хто, а помилки або навмисні “чорні ходи” врешті-решт будуть знайдені завдяки колективній перевірці.
Скептики менш впевнені. Деякі інструменти безпеки коду та налагодження дійсно виявили аномалії в xz Utils, але пан Фройнд визнає “кількість збігів, які мали зійтися разом, щоб виявити це”, включаючи низку технічних, але довільних рішень, які він зробив під час усунення не пов’язаної з цим проблеми. “Ніхто більше не висловлював занепокоєння”, – пише Кевін Бомонт, інший фахівець з кібербезпеки. Інженери-програмісти все ще досліджують внутрішню роботу бекдору, намагаючись зрозуміти його призначення та дизайн. “Світ винен Андресу необмежену кількість безкоштовного пива, – підсумовує пан Бомонт. “Він просто врятував усім дупи у свій вільний час”.
Атаку було виявлено і зупинено до того, як вона встигла завдати значної шкоди. Неможливо сказати, чи Цзя Тан або команда, яка, очевидно, стоїть за цією особою, під іншими псевдонімами втручалася в інші життєво важливі частини інтернет-програм під іншими псевдонімами. Але дослідники безпеки стурбовані тим, що основи інтернету вже дозріли для подібних кампаній. “Суть в тому, що ми маємо незліченні трильйони доларів, що лежать на коді, розробленому аматорами”, – зазначає Міхал Залевський, експерт. Інші бекдори можуть ховатися ще не виявленими.