Am Ende, so argumentiert Scott, wurden diese drei Jahre voller Codeänderungen und höflicher E-Mails wahrscheinlich nicht damit verbracht, mehrere Softwareprojekte zu sabotieren, sondern vielmehr eine Geschichte der Glaubwürdigkeit aufzubauen, um sich auf die Sabotage speziell von XZ Utils – und vielleicht auch anderer Projekte in der Zukunft – vorzubereiten. „Er hat diesen Schritt nie geschafft, weil wir Glück hatten und seine Sachen gefunden haben“, sagt Scott. „Er ist jetzt ausgebrannt und muss wieder von vorne anfangen.“

Technische Marken und Zeitzonen

Trotz Jia Tans Persönlichkeit als Einzelperson ist seine jahrelange Vorbereitung das Markenzeichen einer gut organisierten, staatlich geförderten Hackergruppe, sagt Rayu, der ehemalige Hauptforscher bei Kaspersky. Und das gilt auch für die besonderen technischen Merkmale des von Jia Tan hinzugefügten Schadcodes XZ Utils. Rayo weist darauf hin, dass der Code auf den ersten Blick wirklich wie ein Komprimierungstool aussieht. „Es ist sehr subversiv geschrieben“, sagt er. Laut Rayo handelt es sich außerdem um eine „passive“ Hintertür, sodass sie nicht den Befehls- und Kontrollserver erreicht, der bei der Identifizierung des Betreibers der Hintertür helfen könnte. Stattdessen wartet es darauf, dass sich der Betreiber per SSH mit dem Zielgerät verbindet und authentifiziert sich mit einem privaten Schlüssel, der mithilfe einer besonders starken Verschlüsselungsfunktion namens ED448 generiert wird.

Rayo vermutet, dass das genaue Design der Hintertür das Werk amerikanischer Hacker sein könnte, weist jedoch darauf hin, dass dies unwahrscheinlich ist, da die Vereinigten Staaten normalerweise keine Open-Source-Projekte sabotieren – und wenn dies der Fall wäre, würde die NSA wahrscheinlich quantenresistente Verschlüsselung verwenden . Funktion, die ED448 nicht hat. Dies führt dazu, dass nicht-US-amerikanische Gruppen in der Vergangenheit Angriffe auf die Lieferkette hinter sich haben, wie z. B. APT41 aus China, die Lazarus-Gruppe aus Nordkorea und APT29 aus Russland, stellt Rayo fest.

Auf den ersten Blick sieht Jia Tan auf jeden Fall ostasiatisch aus – oder soll es zumindest sein. Die Zeitzone für Jia Tans Verpflichtungen ist UTC+8: Dies ist die Zeitzone Chinas und nur eine Stunde von der Zeitzone Nordkoreas entfernt. Allerdings A Analyse durch zwei ForscherRhea Carty und Simon Henniger vermuten, dass Jia Tan vor jedem Commit einfach die Zeitzone ihres Computers auf UTC+8 geändert hat. Tatsächlich wurden viele Commits mithilfe eines Computers durchgeführt, der auf eine osteuropäische oder nahöstliche Zeitzone eingestellt war, vielleicht weil Jia Tan vergaß, die Änderung vorzunehmen.

„Ein weiterer Indikator dafür, dass sie nicht aus China kommen, ist die Tatsache, dass sie an wichtigen chinesischen Feiertagen gearbeitet haben“, sagen Carty und Henniger, Studenten am Dartmouth College bzw. an der Technischen Universität München. Beachten Sie, dass Jia Tan zu Weihnachten oder Neujahr auch kein neues Symbol eingeführt hat. Entwickler Boehs fügt hinzu, dass ein Großteil der Arbeit um 9 Uhr morgens beginnt und um 17 Uhr endet, je nach osteuropäischer oder nahöstlicher Zeitzone. „Der Zeitplan der Zusagen legt nahe, dass es sich hierbei nicht um ein Projekt außerhalb des Unternehmens handelte“, sagt Buhs.

Obwohl dadurch Länder wie der Iran und Israel als Möglichkeiten übrig bleiben, gehen die meisten Hinweise auf Russland zurück, insbesondere auf die russische Hackergruppe APT29, sagt Dave Aitel, ein ehemaliger NSA-Hacker und Gründer der Cybersicherheitsfirma Immunity. APT29 – von dem allgemein angenommen wird, dass er für den russischen Auslandsgeheimdienst SVR arbeitet – genießt einen Ruf für technisches Sponsoring, wie ihn nur wenige andere Hackergruppen an den Tag legen, betont Aitel. APT29 führte auch den Solar Winds-Hack durch, der vielleicht der koordinierteste und effektivste Angriff auf eine Software-Lieferkette in der Geschichte ist. Im Vergleich dazu entspricht dieser Prozess dem Backdoor-Ansatz von XZ Utils viel mehr als die primitiveren Supply-Chain-Angriffe von APT41 oder Lazarus.

„Es könnte jemand anderes sein“, sagt Aitel. „Aber ich meine, wenn Sie nach den raffiniertesten Supply-Chain-Angriffen auf dem Planeten suchen, dann sind das unsere guten Freunde bei SVR.“

Sicherheitsforscher sind sich zumindest einig, dass es sich bei Jia Tan wahrscheinlich nicht um eine reale Person oder auch nur um eine Einzelperson handelt. Stattdessen scheint klar zu sein, dass die Figur die Online-Verkörperung einer neuen Taktik einer neuen, gut organisierten Organisation war, die fast funktioniert hat. Das bedeutet, dass wir erwarten sollten, dass Jia Tan unter anderen Namen zurückkehrt: scheinbar höfliche und enthusiastische Mitwirkende an Open-Source-Projekten, die in ihren Code-Commits geheime Absichten der Regierung verbergen.

Aktualisiert am 04.03.2024 um 12:30 Uhr ET, um auf eine mögliche israelische oder iranische Beteiligung hinzuweisen.