Lo que necesitas saber
- La semana pasada, un ingeniero alemán de Microsoft descubrió un ciberataque que potencialmente habría permitido a los actores de amenazas acceder a datos de millones de usuarios desprevenidos.
- El ingeniero de software comenzó a investigar el problema después de notar una potencia de procesamiento lenta al usar SSH para acceder a las computadoras de forma remota durante las comprobaciones de rutina.
- Las empresas de ciberseguridad llaman al ataque «la puerta trasera más extendida y efectiva jamás colocada en cualquier producto de software».
- El problema se solucionó unas horas después de que el ingeniero de software lo informara a un grupo de desarrolladores de software de código abierto.
La semana pasada, mientras la mayoría de nosotros estábamos fuera por las vacaciones de Semana Santa, Andrés Freund, ingeniero alemán de Microsoft de 38 años, podría haber salvado al mundo de un importante ciberataque.
En contexto, Freund es un ingeniero de software que se especializa en el desarrollo de software de bases de datos de código abierto conocido como PostgreSQL. Parte de la descripción de su trabajo requiere que realice comprobaciones de mantenimiento periódicas, lo que nos lleva al viernes 29 de 2024.
¿Cómo identificó el ingeniero el problema?
Mientras realizaba sus comprobaciones de mantenimiento de rutina, Freund tropezó con algo un tanto extraño. El ingeniero de software aprovecha una herramienta específica llamada SSH para acceder a las computadoras de forma remota en Internet. El proceso suele ser fluido y fluido, pero ese día en particular fue dolorosamente lento.
Esta ralentización impulsó al ingeniero a investigar el asunto, lo que resultó muy alarmante. Encontró un código malicioso enterrado en un paquete de software denominado XZ Utils. La herramienta comprime y descomprime datos que se ejecutan en el sistema operativo Linux.
Como ya sabrá, la mayoría de los servidores de Internet funcionan con el sistema operativo Linux, que también depende en gran medida del paquete de software XZ Utils (incluidas las empresas más grandes del mundo, como bancos, hospitales, etc.). La investigación de Freund sobre el problema reveló que el código malicioso llegó a su dispositivo a través de dos actualizaciones recientes para XZ Utils.
Si bien la mayoría de las herramientas basadas en software son susceptibles a errores (especialmente cuando se implementan nuevas actualizaciones), Freund dice que esto no fue un error ni un error. En cambio, el ingeniero de software cree que la puerta trasera se colocó intencionalmente en el programa para causar estragos. Como resultado, el atacante podría acceder a la conexión SSH de un usuario y ejecutar su código sin el conocimiento del usuario desprevenido.
Freund admitió que no creía en sus hallazgos iniciales, pero después de realizar más pruebas y análisis, los resultados finalmente aclararon la duda. En consecuencia, él compartió sus hallazgos con un grupo de desarrolladores de software de código abierto examinar los resultados y, posiblemente, encontrar una solución plausible.
Afortunadamente, los desarrolladores pudieron solucionar los problemas en un par de horas. Alex Stamos, director de confianza de SentinelOne, elogió a Freund por su descubrimiento y su rápida acción mientras hablaba con Los New York Times:
«Esta podría haber sido la puerta trasera más extendida y efectiva jamás colocada en cualquier producto de software».
¿Quién estuvo detrás del sofisticado ataque?
Sin embargo, los detalles sobre el hacker detrás de este ataque siguen siendo escasos. investigadores que investigan el tema han detectado cambios sutiles en XZ Utils a partir de 2022. Sin embargo, se cree que un grupo de piratas informáticos utilizó el seudónimo Jia Tan para infiltrarse en el sistema.
Los atacantes utilizaron una estrategia sofisticada para ganarse lentamente la confianza de los desarrolladores, lo que finalmente les permitió ascender rápidamente en las filas, desde sugerir código de programa hasta convertirse en mantenedores que revisan y aprueban los cambios sugeridos.