En última instancia, Scott sostiene que esos tres años de cambios de código y correos electrónicos corteses probablemente no se dedicaron a sabotear múltiples proyectos de software, sino a construir una historia de credibilidad en preparación para el sabotaje de XZ Utils específicamente, y potencialmente de otros proyectos en el futuro. «Simplemente nunca llegó a ese paso porque tuvimos suerte y encontramos sus cosas», dice Scott. «Así que eso ya está quemado y tendrá que volver al punto de partida».
Tics técnicos y zonas horarias
A pesar de la personalidad de Jia Tan como un solo individuo, su preparación de años es un sello distintivo de un grupo de hackers bien organizado y patrocinado por el estado, argumenta Raiu, ex investigador principal de Kaspersky. También lo son las características técnicas del código malicioso XZ Utils que agregó Jia Tan. Raiu señala que, a primera vista, el código realmente parece una herramienta de compresión. «Está escrito de una manera muy subversiva», dice. También es una puerta trasera «pasiva», dice Raiu, por lo que no llegaría a un servidor de comando y control que podría ayudar a identificar al operador de la puerta trasera. En cambio, espera a que el operador se conecte a la máquina de destino a través de SSH y se autentique con una clave privada, una generada con una función criptográfica particularmente potente conocida como ED448.
El cuidadoso diseño de la puerta trasera podría ser obra de hackers estadounidenses, señala Raiu, pero sugiere que eso es poco probable, ya que Estados Unidos normalmente no sabotearía proyectos de código abierto y, si lo hiciera, la Agencia de Seguridad Nacional probablemente usaría un sistema criptográfico resistente a los cuánticos. función, que ED448 no es. Eso deja a los grupos no estadounidenses con un historial de ataques a la cadena de suministro, sugiere Raiu, como el APT41 de China, el Grupo Lazarus de Corea del Norte y el APT29 de Rusia.
A primera vista, Jia Tan ciertamente parece del este de Asia, o debería parecerlo. La zona horaria de los compromisos de Jia Tan es UTC+8: esa es la zona horaria de China, y está a sólo una hora de la de Corea del Norte. Sin embargo, un análisis realizado por dos investigadores, Rhea Karty y Simon Henniger, sugiere que Jia Tan simplemente pudo haber cambiado la zona horaria de su computadora a UTC+8 antes de cada confirmación. De hecho, varias confirmaciones se realizaron con una computadora configurada en una zona horaria de Europa del Este, tal vez cuando Jia Tan olvidó hacer el cambio.
«Otro indicio de que no son de China es el hecho de que trabajaron en días festivos chinos importantes», dicen Karty y Henniger, estudiantes del Dartmouth College y de la Universidad Técnica de Munich, respectivamente. Boehs, el desarrollador, añade que gran parte del trabajo comienza a las 9 am y termina a las 5 pm en las zonas horarias de Europa del Este. «El rango de tiempo de los compromisos sugiere que este no fue un proyecto que hicieron fuera del trabajo», dice Boehs.
Todas esas pistas conducen a Rusia, y específicamente al grupo de hackers APT29 de Rusia, sostiene Dave Aitel, ex hacker de la NSA y fundador de la firma de ciberseguridad Immunity. Aitel señala que APT29, que se cree ampliamente que trabaja para la agencia de inteligencia extranjera de Rusia, conocida como SVR, tiene una reputación de cuidado técnico que pocos grupos de hackers muestran. APT29 también llevó a cabo el compromiso de Solar Winds, quizás el ataque a la cadena de suministro de software más hábilmente coordinado y eficaz de la historia. En comparación, esa operación coincide mucho más con el estilo de la puerta trasera de XZ Utils que con los ataques más crudos a la cadena de suministro de APT41 o Lazarus.
“Es muy posible que se trate de otra persona”, afirma Aitel. «Pero quiero decir, si estás buscando los ataques a la cadena de suministro más sofisticados del planeta, esos serán nuestros queridos amigos en el SVR».
Los investigadores de seguridad coinciden, al menos, en que es poco probable que Jia Tan sea una persona real, o incluso una persona que trabaje sola. En cambio, parece claro que la persona era la encarnación en línea de una nueva táctica de una organización nueva y bien organizada, una táctica que casi funcionó. Eso significa que deberíamos esperar ver a Jia Tan regresar con otros nombres: contribuyentes aparentemente educados y entusiastas a proyectos de código abierto, ocultando las intenciones secretas de un gobierno en sus compromisos de código.