Le mystère de Jia Tan, le cerveau de XZ Backdoor
En fin de compte, Scott affirme que ces trois années de modifications de code et d’e-mails polis n’ont probablement pas été consacrées à saboter plusieurs projets logiciels, mais plutôt à construire un historique de crédibilité en vue du sabotage de XZ Utils en particulier et potentiellement d’autres projets à l’avenir. Il n’est tout simplement jamais arrivé à cette étape parce que nous avons eu de la chance et avons trouvé ses affaires, explique Scott. Donc c’est brûlé maintenant, et il va devoir revenir à la case départ.
Tiques techniques et fuseaux horaires
Malgré la personnalité de Jia Tan en tant qu’individu unique, ses années de préparation sont la marque d’un groupe de hackers bien organisé parrainé par l’État, affirme Raiu, l’ancien chercheur principal de Kaspersky. Il en va de même pour les caractéristiques techniques du code malveillant XZ Utils ajouté par Jia Tan. Raiu note qu’en un coup d’œil, le code ressemble véritablement à un outil de compression. C’est écrit d’une manière très subversive, dit-il. Il s’agit également d’une porte dérobée passive, explique Raiu, qui ne peut donc pas accéder à un serveur de commande et de contrôle qui pourrait aider à identifier l’opérateur de la porte dérobée. Au lieu de cela, il attend que l’opérateur se connecte à la machine cible via SSH et s’authentifie avec une clé privée générée avec une fonction cryptographique particulièrement puissante connue sous le nom d’ED448.
La conception minutieuse des portes dérobées pourrait être l’œuvre de pirates informatiques américains, note Raiu, mais il suggère que c’est peu probable, car les États-Unis ne saboteraient généralement pas les projets open source et si c’était le cas, la National Security Agency utiliserait probablement une fonction cryptographique résistante aux quantiques, ce qui est ED448. n’est pas. Cela laisse des groupes non américains avec un historique d’attaques sur la chaîne d’approvisionnement, suggère Raiu, comme le chinois APT41, le nord-coréen Lazarus Group et le russe APT29.
En un coup d’œil, Jia Tan a certainement l’air d’Asie de l’Est ou est censé le faire. Le fuseau horaire des engagements de Jia Tan est UTC+8 : c’est le fuseau horaire de la Chine, et à seulement une heure de celui de la Corée du Nord. Cependant, une analyse réalisée par deux chercheurs, Rhea Karty et Simon Henniger, suggère que Jia Tan aurait simplement changé le fuseau horaire de son ordinateur en UTC+8 avant chaque commit. En fait, plusieurs commits ont été effectués avec un ordinateur réglé sur un fuseau horaire d’Europe de l’Est ou du Moyen-Orient, peut-être lorsque Jia Tan a oublié d’effectuer le changement.
Une autre indication qu’ils ne sont pas originaires de Chine est le fait qu’ils ont travaillé lors de jours fériés chinois importants, disent Karty et Henniger, étudiants respectivement au Dartmouth College et à l’Université technique de Munich. Ils notent que Jia Tan n’a pas non plus soumis de nouveau code à Noël ou au Nouvel An. Boehs, le développeur, ajoute qu’une grande partie du travail commence à 9 heures du matin et se termine à 17 heures pour les fuseaux horaires d’Europe de l’Est ou du Moyen-Orient. La durée des engagements suggère qu’il ne s’agissait pas d’un projet qu’ils ont réalisé en dehors du travail, dit Boehs.
Même si cela laisse des pays comme l’Iran et Israël comme possibilités, la majorité des indices renvoient à la Russie, et plus particulièrement au groupe de piratage russe APT29, affirme Dave Aitel, ancien pirate informatique de la NSA et fondateur de la société de cybersécurité Immunity. Aitel souligne que l’APT29, largement considéré comme travaillant pour l’agence de renseignement étrangère russe, connue sous le nom de SVR, a une réputation de soin technique d’un type que peu d’autres groupes de hackers font preuve. APT29 a également perpétré la compromission Solar Winds, peut-être l’attaque de chaîne d’approvisionnement logicielle la plus habilement coordonnée et la plus efficace de l’histoire. Cette opération correspond bien plus au style de la porte dérobée XZ Utils qu’aux attaques plus grossières de la chaîne d’approvisionnement d’APT41 ou de Lazarus, en comparaison.
Il pourrait très bien s’agir de quelqu’un d’autre, dit Aitel. Mais je veux dire, si vous recherchez les attaques de chaîne d’approvisionnement les plus sophistiquées de la planète, ce seront nos chers amis du SVR.
Les chercheurs en sécurité conviennent, au moins, qu’il est peu probable que Jia Tan soit une personne réelle, ou même une personne travaillant seule. Au lieu de cela, il semble clair que le personnage était l’incarnation en ligne d’une nouvelle tactique émanant d’une nouvelle organisation bien organisée – une tactique qui a presque fonctionné. Cela signifie que nous devrions nous attendre à voir Jia Tan revenir sous d’autres noms : des contributeurs apparemment polis et enthousiastes à des projets open source, cachant les intentions secrètes du gouvernement dans leurs engagements de code.
Mis à jour le 03/04/2024 à 12h30 HE pour noter la possibilité d’une implication israélienne ou iranienne.