Real News On-line!

沖縄から福島、東京までの日本の政治、ビジネス、犯罪、技術、社会、文化に関する最新ニュースと詳細な分析

XZテールゲートの黒幕、ジア・タンの秘密

XZテールゲートの黒幕、ジア・タンの秘密

結局、この 3 年間のコード変更と丁寧な電子メールは、おそらく複数のソフトウェア プロジェクトの妨害に費やされたのではなく、むしろ XZ Utils の妨害、そしておそらくは将来の他のプロジェクトの妨害に備えて、信頼の歴史を築くために使われた可能性が高い、と Scott 氏は主張します。 「私たちが幸運にも彼のものを見つけたので、彼はその段階に到達しませんでした」とスコットは言います。 「彼はもう燃え尽きてしまった。振り出しに戻らなければならないだろう。」

テクニカルマークとタイムゾーン

個人としてのジア・タン氏の性格にもかかわらず、彼の長年にわたる準備は、よく組織された国家支援ハッカーグループの特徴である、とカスペルスキーの元主任研究員ラユ氏は言う。 Jia Tan によって追加された XZ Utils 悪意のあるコードの独特の技術的特徴も同様です。 Rayo 氏は、このコードは一見すると圧縮ツールのように見えると指摘しています。 「これは非常に破壊的な方法で書かれています」と彼は言う。 ラヨ氏によると、これは「受動的な」バックドアでもあるため、バックドアのオペレーターの特定に役立つ可能性のあるコマンド&コントロールサーバーには到達しないという。 代わりに、オペレータが SSH 経由でターゲット デバイスに接続するのを待ち、ED448 として知られる特に強力な暗号化機能を使用して生成された秘密キーで認証します。

ラヨ氏は、バックドアの正確な設計は米国のハッカーの仕業である可能性があると示唆しているが、米国は通常、オープンソースプロジェクトを妨害しないため、その可能性は低いと指摘している。また、もし妨害した場合、NSAは耐量子暗号を使用する可能性が高いと指摘している。 。 ED448 にはない機能です。 これにより、中国のAPT41、北朝鮮のLazarus Group、ロシアのAPT29など、米国以外のグループにサプライチェーン攻撃の歴史が残ることになる、とRayo氏は指摘する。

一見すると、ジア・タンは確かに東アジア人に見える、あるいはそうあるべきである。 Jia Tan の約束のタイムゾーンは UTC+8 です。これは中国のタイムゾーンであり、北朝鮮のタイムゾーンからわずか 1 時間離れています。 しかし、A 2人の研究者による分析Rhea Carty と Simon Henniger は、Jia Tan が各コミットの前に単にコンピュータのタイムゾーンを UTC+8 に変更しただけではないかと示唆しています。 実際、コミットの多くは、おそらく Jia Tan が変更を忘れたために、代わりに東ヨーロッパのタイムゾーンに設定されたコンピューターを使用して行われました。

「彼らが中国出身ではないことを示すもう一つの証拠は、彼らが中国の重要な祝日に働いていたという事実です」と、それぞれダートマス大学とミュンヘン工科大学の学生であるカーティとヘニガーは言う。 開発者の Boehs 氏は、東ヨーロッパのタイムゾーンでは、多くの作業が午前 9 時に始まり午後 5 時に終わると付け加えました。 「コミットメントのタイムラインは、これが彼らがビジネスの外で行ったプロジェクトではないことを示唆しています」とBuhs氏は言います。

元NSAハッカーでサイバーセキュリティ企業イミュニティの創設者であるデイブ・アイテル氏は、これらの手がかりはすべてロシア、特にロシアのハッカー集団APT29につながると語る。 APT29(SVRとして知られるロシアの対外諜報機関で活動していると広く考えられている)は、他のハッカー集団には見られないような技術的スポンサーシップで定評があるとアイテル氏は指摘する。 APT29 は、おそらく史上最も組織的かつ効果的なソフトウェア サプライ チェーンへの攻撃である Solar Winds ハッキングも実行しました。 このプロセスは、APT41 や Lazarus によるより原始的なサプライ チェーン攻撃よりも、XZ Utils のバックドア アプローチとはるかに一致します。

「それは別の誰かかもしれない」とアイテルは言う。 「しかし、地球上で最も洗練されたサプライチェーン攻撃を探しているのなら、彼らは私たちの SVR の良き友人になるでしょう。」

セキュリティ研究者らは、少なくとも、ジア・タンが実在の人物である可能性は低く、単独で行動している人物である可能性も低いことに同意している。 むしろ、そのキャラクターが、よく組織された新しい組織による新しい戦術をオンラインで体現したものであり、ほぼ機能していたことが明らかです。 これは、Jia Tan が別の名前で戻ってくることを期待する必要があることを意味します。オープンソース プロジェクトへの一見礼儀正しく熱心な貢献者であり、コードコミットには政府の秘密の意図が隠されています。