\n<\/p>\n
En \u00faltima instancia, Scott sostiene que esos tres a\u00f1os de cambios de c\u00f3digo y correos electr\u00f3nicos corteses probablemente no se dedicaron a sabotear m\u00faltiples proyectos de software, sino a construir una historia de credibilidad en preparaci\u00f3n para el sabotaje de XZ Utils espec\u00edficamente, y potencialmente de otros proyectos en el futuro. \u00abSimplemente nunca lleg\u00f3 a ese paso porque tuvimos suerte y encontramos sus cosas\u00bb, dice Scott. \u00abAs\u00ed que eso ya est\u00e1 quemado y tendr\u00e1 que volver al punto de partida\u00bb.<\/p>\n
A pesar de la personalidad de Jia Tan como un solo individuo, su preparaci\u00f3n de a\u00f1os es un sello distintivo de un grupo de hackers bien organizado y patrocinado por el estado, argumenta Raiu, ex investigador principal de Kaspersky. Tambi\u00e9n lo son las caracter\u00edsticas t\u00e9cnicas del c\u00f3digo malicioso XZ Utils que agreg\u00f3 Jia Tan. Raiu se\u00f1ala que, a primera vista, el c\u00f3digo realmente parece una herramienta de compresi\u00f3n. \u00abEst\u00e1 escrito de una manera muy subversiva\u00bb, dice. Tambi\u00e9n es una puerta trasera \u00abpasiva\u00bb, dice Raiu, por lo que no llegar\u00eda a un servidor de comando y control que podr\u00eda ayudar a identificar al operador de la puerta trasera. En cambio, espera a que el operador se conecte a la m\u00e1quina de destino a trav\u00e9s de SSH y se autentique con una clave privada, una generada con una funci\u00f3n criptogr\u00e1fica particularmente potente conocida como ED448.<\/p>\n
El cuidadoso dise\u00f1o de la puerta trasera podr\u00eda ser obra de hackers estadounidenses, se\u00f1ala Raiu, pero sugiere que eso es poco probable, ya que Estados Unidos normalmente no sabotear\u00eda proyectos de c\u00f3digo abierto y, si lo hiciera, la Agencia de Seguridad Nacional probablemente usar\u00eda un sistema criptogr\u00e1fico resistente a los cu\u00e1nticos. funci\u00f3n, que ED448 no es. Eso deja a los grupos no estadounidenses con un historial de ataques a la cadena de suministro, sugiere Raiu, como el APT41 de China, el Grupo Lazarus de Corea del Norte y el APT29 de Rusia.<\/p>\n
A primera vista, Jia Tan ciertamente parece del este de Asia, o deber\u00eda parecerlo. La zona horaria de los compromisos de Jia Tan es UTC+8: esa es la zona horaria de China, y est\u00e1 a s\u00f3lo una hora de la de Corea del Norte. Sin embargo, un an\u00e1lisis realizado por dos investigadores, Rhea Karty y Simon Henniger, sugiere que Jia Tan simplemente pudo haber cambiado la zona horaria de su computadora a UTC+8 antes de cada confirmaci\u00f3n. De hecho, varias confirmaciones se realizaron con una computadora configurada en una zona horaria de Europa del Este, tal vez cuando Jia Tan olvid\u00f3 hacer el cambio.<\/p>\n
\u00abOtro indicio de que no son de China es el hecho de que trabajaron en d\u00edas festivos chinos importantes\u00bb, dicen Karty y Henniger, estudiantes del Dartmouth College y de la Universidad T\u00e9cnica de Munich, respectivamente. Boehs, el desarrollador, a\u00f1ade que gran parte del trabajo comienza a las 9 am y termina a las 5 pm en las zonas horarias de Europa del Este. \u00abEl rango de tiempo de los compromisos sugiere que este no fue un proyecto que hicieron fuera del trabajo\u00bb, dice Boehs.<\/p>\n
Todas esas pistas conducen a Rusia, y espec\u00edficamente al grupo de hackers APT29 de Rusia, sostiene Dave Aitel, ex hacker de la NSA y fundador de la firma de ciberseguridad Immunity. Aitel se\u00f1ala que APT29, que se cree ampliamente que trabaja para la agencia de inteligencia extranjera de Rusia, conocida como SVR, tiene una reputaci\u00f3n de cuidado t\u00e9cnico que pocos grupos de hackers muestran. APT29 tambi\u00e9n llev\u00f3 a cabo el compromiso de Solar Winds, quiz\u00e1s el ataque a la cadena de suministro de software m\u00e1s h\u00e1bilmente coordinado y eficaz de la historia. En comparaci\u00f3n, esa operaci\u00f3n coincide mucho m\u00e1s con el estilo de la puerta trasera de XZ Utils que con los ataques m\u00e1s crudos a la cadena de suministro de APT41 o Lazarus.<\/p>\n
\u201cEs muy posible que se trate de otra persona\u201d, afirma Aitel. \u00abPero quiero decir, si est\u00e1s buscando los ataques a la cadena de suministro m\u00e1s sofisticados del planeta, esos ser\u00e1n nuestros queridos amigos en el SVR\u00bb.<\/p>\n
Los investigadores de seguridad coinciden, al menos, en que es poco probable que Jia Tan sea una persona real, o incluso una persona que trabaje sola. En cambio, parece claro que la persona era la encarnaci\u00f3n en l\u00ednea de una nueva t\u00e1ctica de una organizaci\u00f3n nueva y bien organizada, una t\u00e1ctica que casi funcion\u00f3. Eso significa que deber\u00edamos esperar ver a Jia Tan regresar con otros nombres: contribuyentes aparentemente educados y entusiastas a proyectos de c\u00f3digo abierto, ocultando las intenciones secretas de un gobierno en sus compromisos de c\u00f3digo.<\/p>\n<\/div>\n