Cibersegurança – A curiosidade de um engenheiro pode ter-nos salvo de um ciberataque devastador.
Um engenheiro da Microsoft chamado Andres Freund notou algo peculiar, durante a utilização de SSH para acesso máquinas remotas.
A conexão a máquinas mais distantes estava significativamente mais lenta do que o habitual, levando a que investigasse a causa e encontrou código malicioso incorporado num pacote de do software XZ Utils que estava em utilização na máquina remota
O ZX Utils é uma ferramenta crítica utilizada para comprimir (e descomprimir) dados no sistema em Linux,
A investigação de Freund revelou que o código malicioso tinha chegado à sua máquina após duas atualizações recentes do XZ Utils. Alertou a Open Source Security List – OpenWall – a lista de Segurança de Código Aberto para revelar que as actualizações detectadas eram o resultado de alguém implantando intencionalmente um backdoor no software.
Este tipo de ataque denominado de “supply-chain attack” que funciona como o catastrófico SolarWinds de 2020, onde softwares maliciosos não são injetados diretamente em máquinas alvo, mas sim distribuídos por meio da infecção das atualizações regulares de software.
Mas em que consistia este malware?
Basicamente, quebrava o processo de autenticação que torna o SSH seguro e, assim, criar um backdoor que permitiria a um intruso obter acesso remoto não autorizado a todo o sistema. Como o SSH é uma ferramenta vital para a acesso seguro, qualquer coisa que o prejudique é uma péssima notícia sendo que este backdoor está a deixar em em alerta máximo o mundo inteiro.
Felizmente, aparentemente o problema foi resolvido a tempo. No entanto, se Freund não tivesse sido tão perspicaz e curioso esta situação não se teria descoberto.
De certa forma, a história de como o malware entrou nas atualizações é ainda mais instrutiva. O XZ Utils é um software de código aberto, ou seja, um software com código-fonte que qualquer pessoa pode inspecionar, modificar e aprimorar. Grande parte do código aberto é escrito e mantido por pequenas equipas de programadores e, em muitos casos, por um único indivíduo. No XZ Utils, esse indivíduo há anos é Lasse Collin, que está no projeto desde o início. Até recentemente, ele era a pessoa que montava e distribuía as atualizações do software.
Segundo foi apurado, nos últimos anos, o trabalho de manutenção de parte tão importante do software tornou-se mais oneroso associado a problemas de saúde de Lasse Collin e de acordo com o especialista em segurança Michał Zalewski, há cerca de dois anos atrás, um developer “sem presença online anterior” que se autodenomina Jia Tan apareceu do nada e começou a fazer contribuições úteis para a biblioteca XZ Utils.
“Pouco depois da chegada de ‘Jia'”, conta Zalewski, “várias contas falsas apareceram e começaram a pressionar Lasse para passar o desenvolvimento do software e parece que ele cedeu em algum momento de 2023.”
As duas atualizações infectadas por malware foram lançadas por este personagem Jia.
Então, a trama agora adensa-se.
Especialistas em cibersegurança estão claramente levando o ataque muito a sério. “O backdoor é muito peculiar em como é implementado, mas é realmente inteligente e muito furtivo”, disse um renomado guru de segurança sul-africano ao The Economist.
Ainda mais interessante é a existência de uma campanha online coordenada para persuadir Lasse Collin a passar o controle do XZ Utils para “Jia Tan”. Este guru em particular suspeita que o SVR, o serviço de inteligência estrangeira russo por trás da invasão do SolarWinds nas redes do governo dos Estados Unidos, possa até ter desempenhado um papel no ataque.
Quem sabe?
No entanto, duas lições claras podem ser aprendidas com o que sabemos até agora
A primeira é que construímos um mundo totalmente novo em cima de uma tecnologia intrínseca e fundamentalmente insegura.
A segunda é que somos criticamente dependentes de software de código aberto, muitas vezes mantido por voluntários que o fazem por paixão e não por dinheiro – e geralmente sem o apoio da indústria ou do governo. Não podemos continuar assim, mas continuaremos.
Those whom the Gods wish to destroy, they first make complacent.