Исследователи GReAT из Лаборатории Касперского выкатили вторую часть аналитики по резонансному инциденту с бэкдором в XZ Utils.

Основной акцент в исследовании сделан на социоинженерном аспекте атаки с подробным разбором личностей и хронологии активности участников, провернувших настоящую многолетнюю операцию по вытеснению мейнтейнера XZ Utils и троянизации пакета.

Исследователи отмечают, что высококлассные APT-группы проводят весьма продуманные кампании социнженерии для проникновения в хорошо защищенные цели, как в случае с продвижением имплантатов Green Lambert на Ближний Восток.

И, судя по всему, подход к внедрению XZ Utils, скорее всего, также имел тщательно спланированный и долгосрочный характер, правда, был несколько неуклюже реализован.

Конечная цель заключалась в том, чтобы скрытно внедрить бэкдор, нацелившись на процесс сборки XZ Utils.

После чего имплиментировать зашифрованный код в основные дистрибутивы Linux в рамках крупномасштабной атаки на цепочку поставок.

Безусловно, такой подход в социнженерии, возможно, не является чем-то новым, но обращает на себя внимание другое - потрясающе тонкая вставка вредоносного кода в процессе сборки - до этого нечто подобное было замечена в наделавшем шуму инциденте с SolarWinds.

Только на этот раз в процессе сборки участвовал человек, а продолжительный доступ к исходному коду/среде разработки был получен с помощью социнженерии и дополнен взаимодействиями с вымышленными личностями.

Все подробности, откуда нарисовались парни из Сингапура, Индии и Германии в истории с XZ Utils и как удалось провернуть аферу - в отчете на securelist.

SecAtor

Исследователи GReAT из Лаборатории Касперского выкатили вторую часть аналитики по резонансному инциденту с бэкдором в XZ Utils.

Основной акцент в исследовании сделан на социоинженерном аспекте атаки с подробным разбором личностей и хронологии активности участников, провернувших настоящую многолетнюю операцию по вытеснению мейнтейнера XZ Utils и троянизации пакета.

Исследователи отмечают, что высококлассные APT-группы проводят весьма продуманные кампании социнженерии для проникновения в хорошо защищенные цели, как в случае с продвижением имплантатов Green Lambert на Ближний Восток.

И, судя по всему, подход к внедрению XZ Utils, скорее всего, также имел тщательно спланированный и долгосрочный характер, правда, был несколько неуклюже реализован.

Конечная цель заключалась в том, чтобы скрытно внедрить бэкдор, нацелившись на процесс сборки XZ Utils.

После чего имплиментировать зашифрованный код в основные дистрибутивы Linux в рамках крупномасштабной атаки на цепочку поставок.

Безусловно, такой подход в социнженерии, возможно, не является чем-то новым, но обращает на себя внимание другое - потрясающе тонкая вставка вредоносного кода в процессе сборки - до этого нечто подобное было замечена в наделавшем шуму инциденте с SolarWinds.

Только на этот раз в процессе сборки участвовал человек, а продолжительный доступ к исходному коду/среде разработки был получен с помощью социнженерии и дополнен взаимодействиями с вымышленными личностями.

Все подробности, откуда нарисовались парни из Сингапура, Индии и Германии в истории с XZ Utils и как удалось провернуть аферу - в отчете на securelist.

Securelist

Social engineering aspect of the XZ incident

In this article we analyze social engineering aspects of the XZ backdoor incident. Namely pressuring the XZ maintainer to pass on the project to Jia Cheong Tan, and then urging major downstream maintainers to commit the backdoored code to their projects.

hottg.com/true_secator/5678

11.0K viewsApr 25 at 14:46