Véletlenül fedezett fel a Microsoft programozója egy veszélyes "hátsó ajtót"

2024. március utolsó napjaiban vette észre Andres Freund, a Microsoft munkatársa, hogy az általa éppen tesztelt, számítógépek távoli elérésére szolgáló program a szokásosnál lassabban működik. Amikor megpróbálta kideríteni a késés okát, egy ismeretlen hekker által elhelyezett, ún. hátsó ajtóra, azaz szándékosan elhelyezett sebezhetőségre bukkant egy nyílt forráskódú segédprogramban. Az ilyen programokat önkéntes programozók közössége fejleszti, ebbe kapcsolódott be a támadó. Ha nem lepleződik le, az eredmény egy szakértő szerint az eddigi legveszélyesebb kibertámadások egyike lehetett volna.

Mi történt pontosan?

A file-ok csomagolására szolgáló segédprogram, amelyet Freund vizsgált, számos különféle Linux-változat (disztribúció) és Unix-ra épülő operációs rendszer alaptartozéka, de később kiderült, hogy a macOS (tehát az Apple-gépek) is használják, illetve Windows-ra is elérhető. A hekker, aki beszivárgott az önkéntes fejlesztők közé, úgy írta át, hogy működése közben egy hátsó ajtót hozzon létre egy másik programrészben, amely a számítógép távoli elérésére szolgál. Így lehetővé vált volna, hogy a hekker átvegye az irányítást bármelyik gép felett, amely a módosított programot használta - ez potenciálisan sok ezer, esetleg milliós nagyságrendű eszközt jelent. Ezt a tömeges, nem célzott módszert ellátásilánc-támadásnak nevezik, amelyek, ha sikerülnek, különösen veszélyesek lehetnek.

Szerencsére a  kártékony kód csak egyes disztribúciók béta-verziójába (a kiadás előtti utolsó tesztelési fázis) került bele, mielőtt kiszúrták volna, így valódi veszélyt csak korlátozottan okozhatott.

Az ismeretlen elkövető

Hogy pontosan ki áll az akció mögött, és miért követte el, egyelőre nem ismert. A kártékony kódot elhelyező fejlesztő JiaT75 vagy Jia Tan néven szerepelt a GitHub-on, azonban valódi személyazonossága rejtély. Annyi kideríthető az aktivitásából, hogy hosszú távra tervezett: először más nyílt forrású projektekben vett részt, majd 2021-ben csatlakozott a később meghekkelt kód fejlesztéséhez. Egy évvel később valószínűleg kamuprofilokkal végrehajtott zaklatással (folyamatos panaszbejelentésekkel) kitúrta a kód eredeti alkotóját, végül 2024. elején elhelyezte a hátsó ajtót a kódban. Ezután pedig üzenetekkel kezdte bombázni a programot használó legnagyobb Linux-változatok fejlesztőit, hogy mielőbb építsék be a legutóbbi "biztonsági javítást" a kiadott verziókba.

Az valószínűnek tűnik, hogy "Jia Tan" nem egyetlen ember, a szakértők egy államilag finanszírozott hekkercsoport akciójának vélik az esetet. Főként Kína, Észak-Korea és Oroszország a fő gyanúsítottak, ugyanakkor az akció kifinomultsága és a szerkesztő aktivitásának mintázatai az orosz hírszerzéshez kapcsolódó Cozy Bear (APT29) hekkercsoport szerepét valószínűsítik.