Μία εξαιρετικά σοβαρή απειλή για το οικοσύστημα ανοιχτού κώδικα του Linux αποκαλύφθηκε κυριολεκτικά «στο παρά πέντε», όταν ένας εθελοντής προγραμματιστής έτυχε να εντοπίσει κάτι ασυνήθιστο κατά τη διάρκεια μιας απλής δοκιμής.
Η ανακάλυψη οδήγησε στον εντοπισμό ενός ιδιαίτερα εξελιγμένου backdoor, μίας ψηφιακής “κερκόπορτας” δηλαδή, η οποία θα μπορούσε να δώσει σε άγνωστους εισβολείς πλήρη πρόσβαση σε εκατομμύρια servers παγκοσμίως, με ανυπολόγιστες συνέπειες.
Όλα ξεκίνησαν όταν ο Andres Freund, προγραμματιστής της Microsoft, παρατήρησε ότι η σύνδεσή του σε ένα δοκιμαστικό σύστημα καθυστερούσε ελάχιστα περισσότερο από το συνηθισμένο.
Η διαφορά ήταν μόλις 200 χιλιοστά του δευτερολέπτου, μία μεταβολή τόσο μικρή που πιθανότατα οι περισσότεροι λογικά θα αγνοούσαν.
Ο Freund όμως πρόσεξε και κάτι ακόμη: ο επεξεργαστής του υπολογιστή φαινόταν να καταναλώνει σχετικά περισσότερους πόρους από το αναμενόμενο για μία τόσο απλή διαδικασία.
Αυτό τον ώθησε να ερευνήσει βαθύτερα τι ακριβώς συνέβαινε.
Η έρευνα τον οδήγησε στο XZ Utils, ένα ιδιαίτερα διαδεδομένο εργαλείο συμπίεσης δεδομένων που χρησιμοποιείται σχεδόν σε κάθε σύστημα Linux.
Μελετώντας τον κώδικα, ανακάλυψε ότι είχε ενσωματωθεί ένας πολύ καλά κρυμμένος μηχανισμός πρόσβασης.
Ο συγκεκριμένος μηχανισμός λειτουργούσε σαν «μυστικό κλειδί», επιτρέποντας, σε όποιον γνώριζε πώς να τον ενεργοποιήσει, να αποκτήσει πλήρη έλεγχο στους διακομιστές που χρησιμοποιούσαν το λογισμικό.
Το πιο εντυπωσιακό στοιχείο της υπόθεσης είναι η μεθοδολογία που ακολούθησε ο δράστης για να “φυτέψει” τον κακόβουλο κώδικα στην υπό ανάπτυξη έκδοση.
Ένας χρήστης με το ψευδώνυμο Jia Tan εμφανίστηκε πριν από περίπου δύο χρόνια στην κοινότητα ανάπτυξης του XZ Utils, συμβάλλοντας ενεργά και χτίζοντας σταδιακά φήμη αξιόπιστου συνεργάτη.
Με τον καιρό κέρδισε την εμπιστοσύνη του αρχικού δημιουργού του έργου, αποκτώντας, τελικά, δικαιώματα ενημερώσεων του κώδικα.
Μόλις του δόθηκε αυτή τη δυνατότητα, εισήγαγε προσεκτικά τροποποιήσεις που έκρυβαν το backdoor, σχεδιασμένο να παραμένει αδρανές μέχρι να λάβει ένα συγκεκριμένο σήμα ενεργοποίησης.
Εάν το σχέδιο είχε προχωρήσει επιτυχώς χωρίς να γίνει αντιληπτό, οι εισβολείς θα μπορούσαν να παρακάμπτουν μηχανισμούς ασφαλείας στο σύνολο των servers που θα χρησιμοποιούσαν το λογισμικό, συμπεριλαμβανομένων υποδομών τραπεζών, κυβερνητικών υπηρεσιών και μεγάλων νοσοκομείων.
Το πιο ανησυχητικό είναι ότι ο κακόβουλος κώδικας είχε ήδη ενσωματωθεί σε δοκιμαστικές εκδόσεις δημοφιλών διανομών Linux, όπως οι Debian και Fedora.
Αν η καθυστέρηση των 0,2 δευτερολέπτων δεν είχε κινήσει την περιέργεια του Freund, είναι πολύ πιθανό η επίμαχη αλλαγή να “περνούσε” αργότερα και στις τυπικές εκδόσεις που χρησιμοποιούνται ευρέως σε ολόκληρο τον κόσμο.
Ειδικοί στον τομέα της κυβερνοασφάλειας χαρακτηρίζουν το περιστατικό ως μία από τις πιο επιμελημένες και επικίνδυνες επιθέσεις τύπου supply chain που έχουν καταγραφεί ποτέ.
Στην ουσία, ένα μικρό και φαινομενικά ασήμαντο τεχνικό «παράδοξο» στάθηκε αρκετό για να αποτρέψει μία ενδεχόμενη παγκόσμια διαδικτυακή κρίση.
Ακολουθήστε μας στο Facebook
Ακολουθήστε μας στο Twitter - X
Ακολουθήστε μας στο Google News
