Advertentie
Het is niet ongewoon om lekken in software aan te treffen, maar dit recent ontdekte lek op Linux-systemen is bijzonder alarmerend. Het lijkt er namelijk op dat de voorbereiding voor deze backdoor al jarenlang gaande was. Het lek werd per toeval ontdekt door een medewerker van Microsoft, Andres Freund. Hij was bezig met een micro-benchmark van een Debian Linux-systeem toen hij merkte dat SSH-logins langer duurden dan normaal. Na verder onderzoek ontdekte hij dat de vertraging werd veroorzaakt door het proces xz Utils, een collectie van gratis tools voor Unix-systemen.
Verdere analyse wees uit dat recente wijzigingen waren aangebracht in de compressiealgoritmes van de software, wat erop wees dat er een bewuste backdoor was ingevoegd door een persoon genaamd Jia Tian. Deze gebruiker was sinds 2021 betrokken bij xz Utils en kreeg in 2023 onder een valse naam vermoedelijk volledige rechten tot het project van projecteigenaar Lasse Colin. Na deze wijziging werd de gebruiker zeer actief en werden zijn laatste updates doorgevoerd in versie 5.6.0 en 5.6.1 van xz Utils. Met deze updates werd de backdoor ingevoegd in de software.
Vervolgens lobbyden Tan en enkele anderen bij de ontwikkelaars van Ubuntu, Red Hat en Debian om de update toe te voegen aan het besturingssysteem. Eenmaal geïnstalleerd, gaf de backdoor volledige toegang tot het systeem via SSH.
De motieven van Jia Tian zijn onduidelijk, maar het lijkt erop dat deze persoon ook heeft bijgedragen aan meerdere opensourceprojecten. Het is echter niet zeker of er daadwerkelijk een individu met deze naam achter zit. Er wordt vermoed dat een hacker-groep van een bepaald land hierachter zit en dat het een poging was om de basis te leggen voor een gevaarlijke backdoor die moeilijk te detecteren zou zijn in softwaretoepassingen.
Gelukkig werd het lek ontdekt door Andre Freund voordat het in een stabiele versie van Linux terechtkwam, waardoor verdere schade werd voorkomen. Meer informatie is te vinden in het artikel waarin Microsoft een vraag-en-antwoordsessie heeft gepubliceerd over het lek. We kunnen alleen maar hopen dat dergelijke backdoors in opensourcesoftware niet door andere kwaadwillenden worden misbruikt.