تتطرق نايلة الصليبي في "النشرة الرقمية" إلى انشغال مجتمع الأمن السيبراني والبرمجيات المفتوحة المصدر بقضية وجود باب خلفي خفي في نسخة تجريبية جديدة من XZ Utils، وهي أداة ضغط مدمجة في العديد من توزيعات "لينكس".

باب خلفي خفي في أداة  XZ Utils

انشغل مجتمع الأمن السيبراني والبرمجيات المفتوحة المصدر بقضية وجود باب خلفي خفي backdoor في نسخة تجريبية جديدة من XZ Utils، وهي أداة ضغط مدمجة في العديد من توزيعات لينكس الشائعة وهذا الباب الخلفي الخفي يتيح للقراصنة الذين يمتلكون مفتاحًا خاصا محددًا بالاتصال بالنظام المخترق وتشغيل أوامرهم الخاصة كمسؤول.

كشف هذا الاختراق أندريس فرويند، وهو مهندس من مايكروسوفت عندما لاحظ تصرفا غريبًا في كيفية تشغيل بروتوكول الاتصال الآمن عن بعد SSH Secure Shel في إصدار من نسخة ديبيان من لينكس، و التي انتشرت في عدة ملايين من الأنظمة في العالم.

تبين أن هذا الباب الخلفي لـ XZ Utils ادخله المسؤول الرئيسي عن برنامج XZ Utils المفتوح المصدر، وهو مطور يدعى جيا تان. أسئلة عدة تطرح من هو أو هم "جيا تان"؟ ولحساب من يعمل هذا القرصان أو مجموعة القراصنة من خلال هذا النهج المدهش في عمليات الاختراق؟

عملية الاختراق هذه تعرف  بهجمات سلسلة توريد البرمجيات supply chain attacks- وهي أسلوب قرصنة يخفي شيفرة خبيثة في برنامج شرعي مستخدم على نطاق واسع.

لغز الباب الخلفي الخفي في أداة لينكس

يمكن لأي شخص بواسطة نهج البرمجيات مفتوحة المصدر في البرمجة وأيضا نهج الاستعانة بمصادر جماعية crowdsourced approach اقتراح تغييرات على برنامج ما على مواقع مستودعات "الأكواد" أو الشيفرات البرمجية مثل GitHub، حيث يقوم المبرمجون الآخرون بمراجعة التغييرات التي دمجت في البرنامج المفتوح المصدر.

لقد استغل "جيا تان" هذا النهج لزرع شيفرة الباب الخلفي الخفي في أداة XZ Utils. فقد كشف الاستقصاء عن تاريخ "جيا تان" الموثق في عالم البرمجة المفتوحة المصدر، ظهوره للمرة الأولى في نوفمبر 2021 باسم مستخدم GitHub JiaT 75، حيث قدم لأكثر من عام مساهمات في عدة مشاريع مفتوحة المصدر، مستخدمًا اسم جيا تان، أوأحيانا اسم جيا تشيونغ تان، وذلك قبل أن يبدأ في يناير 2023 طرح التغييرات ودمج "أكواد" أو شيفرات في أداة XZ Utils وبعد عام من المثابرة في تحديث البرنامج، قام في فبراير 2024  بإدخال الباب الخلفي الخفي backdoor إلى نسخة XZ Utils.

كانت قد سيطرت تحديثات جيا تان إلى حد كبير على المشروع من المشرف الأصلي، لاسي كولين، وهو تغيير جاء إثر رسائل الكترونية أرسلها عدد قليل من المستخدمين إلى كولين يشتكون من بطء التحديثات. لم يتضح بعد ما إذا كان هؤلاء المستخدمون متواطئين عن غير قصد، أو كانوا يعملون بالفعل مع "جيا تان" لإقناع لاسي كولين بالتخلي عن السيطرة على المشروع.

عملية الاختراق هذه تعتبر مدهشة ومقلقة

هذا النهج الذي يتسم بالصبر اللامتناهي، إلى جانب الميزات التقنية والتطور في الباب الخلفي المخفي نفسه، دفع الكثيرين في خبراء الأمن السيبراني و منهم الخبير اليكس ستاموس الذي كان مسؤول امن شركة فيسبوك ومن ثم شركة تيك توك، وهو اليوم أستاذ في جامعة ستانفورد، وأيضا كوستين رايو، الذي كان كبير الباحثين ورئيس فريق البحث والتحليل العالمي في شركة كاسبرسكي الروسية، إلى الاعتقاد بأن جيا تان هو في الواقع مجموعة قراصنة ترعاهم دولة ما. وحسب  كوستين رايو، "هذه العملية التي استمرت لعدة سنوات ماكرة للغاية، هي سمة مميزة لمجموعة قراصنة منظمة تنظيمًا جيداً ترعاها الدولة". كذلك الأمر بالنسبة للسمات التقنية المميزة لشيفرة XZ Utils الخبيثة التي أضافها جيا تان.ويضيف كوستين رايو بأن "عملية القرصنة هذه هي ذات أهداف طويلة الأجل تضع في اعتبارها الاستثمار في اختراق المشاريع مفتوحة المصدر على مدى عدة سنوات."

مع تصاعد التدقيق حول "جيا تان" منذ الكشف عن الباب الخلفي لـ XZ Utils ، لاحظ الباحثون أن الشخصية تتمتع بشكل ملحوظ بأمن تشغيلي جيد ولا تترك بصمات رقمية خلفها.

يرى مايكل سكوت، الشريك المؤسس لشركة الأمن السيبراني NetRise، والذي عمل سابقاً في مجموعة الحرب الإلكترونية التابعة للقيادة السيبرانية الأمريكية في سلاح مشاة البحرية "أن السنوات الثلاث من التغييرات في التعليمات البرمجية ورسائل البريد الإلكتروني المهذبة من قبل جيا تان كانت استراتيجية  لبناء تاريخ من المصداقية استعدادًا لاختراق و لتخريب أداة  XZ Utils تحديدًا"

التلاعب لإخفاء هوية و موقع القرصان

اختيار اسم "جيا تان" وغيرها من الأمور، كالتلاعب في الفترات الزمنية وتاريخ العطل الأسبوعية والأعياد وأيضا من خلال عنوان ال IP للشبكة الخاصة الافتراضية VPN تشير إلى الصين.  يدرك المحققون في الأمن السيبراني أن هذا الأسلوب، هو أمر معروف لإخفاء الموقع الحقيقي. فبعض الخبراء يضعون دولا مثل إيران وإسرائيل كاحتمالات، غير أن ديف أيتل Dave Aitel، وهو مخترق سابق في وكالة الأمن القومي الأمريكية NSA ومؤسس شركة الأمن السيبراني Immunity. يعتبر أن غالبية القرائن تقود إلى روسيا، وتحديدًا مجموعة القرصنة الروسية APT 29، المعروفة أيضا بلقب Cozy Bear  أو Nobelium التي يعتقد على نطاق واسع أنها تعمل لصالح وكالة الاستخبارات الخارجية الروسية SVR. تتمتع مجموعة التهديد المتقدم و المستمر بصيت قوي حول  قدراتها التقنية الكبيرة والتي تتوفرفقط لدى عدد قليل من مجموعات القراصنة الأخرى. للتذكير : نفذت مجموعة التهديد المتقدم والمستمر APT 29 عملية اختراق "سولار ويندز"، التي تعتبر أكثر هجمات سلسلة توريد البرمجيات supply chain attacks تنسيقًا وفعالية في التاريخ. وحسب ديف أيتل، يتطابق أسلوب عملية اختراق "سولار ويندز"، مع أسلوب الباب الخلفي لـ XZ Utils أكثر بكثير من هجمات سلسلة التوريد البرمجيات التي تنفذها مجموعة APT 41 الصينية المعروفة أيضا بلقب Double Dragonأو مجموعة Lazarus الكورية الشمالية، التي، تتسم بالفظاظة والخشونة.

ونظرا لانتشار استخدام البرامج المفتوحة المصدر لدى المستخدمين العاديين وأيضا في عدد كبير من المؤسسات الحكومية، يُجمع خبراء الأمن السيبراني على توقع عودة "جيا تان" بأسماء أخرى: كمساهمين ودودين مهذبين للغاية ومتحمسين لتحديث المشاريع المفتوحة المصدر، وهم يخفون نوايا سرية في التزاماتهم البرمجية، التزامات ترعاها دول أو مؤسسات استخباراتية.

يمكن الاستماع لـ "بودكاست النشرة الرقمية" على مختلف منصات البودكاست. الرابط للبودكاست على منصة أبل

للتواصل مع #نايلةالصليبي عبر صفحة برنامَج"النشرة الرقمية"من مونت كارلو الدولية على لينكد إن وعلى تويتر salibi@ وعبرموقع مونت كارلو الدولية مع تحيات نايلة الصليبي