[數碼轉型]
一般人很少接觸Linux,上周出現XZ工具程式庫漏洞,被稱為史上最先進供應鏈攻擊,引起國際關注。攻擊經年部署,過程仿如間諜故事,3月底遭揭發。
全球雲運算以至工業系統,不少使用Linux,可說是全球最流行的作業系統,一般用戶極少接觸作業系統,不少服務背後都以Linux支撐,一旦植入後門惡意程式,黑客可利用SSH程式,隨時登陸系統盗取數據。
Linux系統和工具不少屬開源免費,日常靠義務的軟件工程師維護, XZ是通用數據壓縮格式,XZ utils則是用於壓縮和解壓 XZ的 工具,廣泛用於Linux流行的Red Hat和Debian等發行版本。
今次黑客的背景諱莫如深,長期滲透開源社區,成為維護人員植入惡意代碼,被鎖定懷疑是GitHub用戶Jia Tan (JiaT75),從2021年貢獻源碼,輾轉加入維護群組,成為負責檢查XZ弱點的主要維護人員,年初在5.6.0和5.6.1版本加入後門程式,已被編定為CVE-2024–3094保安事故。
搖動開源社區信心
Juniper Networks亞太區顧問工程團隊總監梁定康說,黑客通過社交工程,花長達數年潛入,背後動用人力物力,實在不容小覷。雖然攻擊沒構成嚴重傷害,卻大大打擊開源生態信心。全球資訊系統極之依賴開源,日常系統均按建議更新,XZ後門有機會短時間感染大量系統。
原來今次揭發攻擊,亦竟非保安專家,而是Microsoft開發人員Andres Freund,調查SSH登錄失敗,系統變慢才發現異常,無意之間揭露攻擊。Freund發現SSH連接登入,速度慢處理器用量異常,原以為Debian系統遭到攻擊,深入調查發現XZ程式庫與Tarball檔案植入後門,揭發攻擊事件。
梁定康說,雖然暫時只影響Linux測試版本,受感染版本流出量不多,但攻擊手法之精密複雜,系統人員不寒而慄。黑客XZ Utils庫植入後門,試圖以開源軟件信任機制,繞過系統身份驗證,策劃之精巧,遠超以往開發因不慎,造成的各種保安漏洞。
滲透社區行動詭秘
Freund偶然發現XZ工具後門,迅速引發開源社區高度關注,有保安專家推測,此可能非單一的個案,黑客精心部署,透過社交工程滲透開源社區,手法隱匿難察,開發管理開放社區的義務人員,保安意識又不足,黑客可乘虛而入。
Jia Tan是何方神聖,仍撲朔迷離,從名字似是星馬華人,時區活動卻在歐洲或中東,潛伏長達三年,起初協助改進XZ工具,博取信任獲社區支持後,部分用戶又指XZ升級太慢,熱心的Jia Tan順利成為管理人員,終露出本來面目,其設計的後門程式,足以避開篩查。 保安專家更懷疑,Jia Tan可能不只一人,背後有組織甚至國家支持,才能花數年隱伏滲入代碼,以便部署植入後門,以不被發現。 目前,全球保安人員正從蛛絲馬跡,找出Jia Tan是真正面目。
梁定康說,如果不及早發現,影響Linux發行版,黑客可繞過身份驗證,挾持OpenSSH伺服器,直接遠端登陸及控制系統,變成全球嚴重保安事故。
開源生態是科技進步的主要動力,全球企業大量使用開源軟件,生態一旦崩潰,足以打擊整個業界。今次發現攻擊的Microsoft,還是Debian的大用戶,估計業界會更關注開源生態安全。道高一尺,魔高一丈,社區內是否有更多Jia Tan正在活動,還是耐人尋味。