foofoobar schrieb:
Nur staatliche Akteure können verschlüsseln?
In der
Theorie ist es zwar möglich, dass eine nicht-staatliche Gruppierung sowas abzieht.
In der Praxis vermute ich aber auch einen staatlichen Akteur dahinter. Dafür spricht vor allem der hohe Aufwand und die lange Vorbereitung, inkl. Social Engineering, aber
auch die technische Gewieftheit bei der Obfuscation der Backdoor (wobei der rein technische Part in der Theorie auch von einem interessierten Nicht-staatlichen Akteur als "Hobbyprojekt" stammen könnte). Die Schwachstelle (1 overworked Maintainer einer kritischen Open Source Komponente die an vielen Stellen eingesetzt wird) wurde ausgemacht und dann hat sich der Akteur erst mal halbwegs normal verhalten (mal von ein paar im Nachhinein suspicious Commits abgesehen) und ca. 2 Jahre lang "ernsthaft" mitgeholfen bei dem Projekt, um sich Vertrauen aufzubauen beim Maintainer. Als er dann Co-Maintainer wurde mit den entsprechenden Rechten, und der Hauptmaintainer sich mehr zurückziehen wollte, hat er dann nach und nach direkten, aber gut versteckten und auf mehrere Dateien verteilten Schadecode eingebaut, und nochmals Social Engineering angewendet damit Distributionen die mit Schadcode versehenen Updates schneller in ihre Repos aufnehmen. Allein dieser Aufwand spricht meiner Meinung nach nicht für jemanden der das mal hobbymäßig macht. 2 Jahre nur Vorbereitung sind eine verdammt lange Zeit. Und dann natürlich noch der große Aufwand der Obfuscation und die clevere Funktion der Backdoor inkl. der NOBUS-Absicherung, so dass nur der Angreifer selbst Remote Commands einschleusen kann über die Backdoor, sonst niemand (da sonst niemand den Key des Angreifers hat, mit dem die Backdoor funktioniert). Achja, und die sehr wahrscheinliche Illegalität des Ganzen deutet auch auf Geheimdienste hin - die müssen sich nicht um Recht und Gesetz scheren, die machen was sie wollen. Zivilpersonen dagegen kommen wahrscheinlich ihr Leben lang hinter Gitter, wenn sie bei so einer Sabotage erwischt werden. [IANAL]
Es ist unwahrscheinlich, dass ein Nicht-staatlicher Akteur so einen Aufwand macht. Für den technischen Part ja, da könnte ich mir noch vorstellen, dass jemand das als Hobbyprojekt macht um zu sehen ob sowas möglich wäre, aber das Ganze
PLUS die davorgehenden 2 Jahre Social Engineering und sich Vertrauen erschleichen und normale Mitarbeit, was ja auch echte Arbeit war, vortäuschen, das deutet auf einen groß angelegten (= staatlichen) Supply Chain Angriff hin.
Die NOBUS-Backdoor
könnte dabei bedeuten, dass der Angeifer nur einzelne gezielte Ziele angreifen wollte, ohne massiven Kollateralschaden bei sämtlichen aus dem Internet erreichbaren SSHDs zu fahren. Oder vielleicht war auch genau so ein Flächenschaden das Ziel. Man weiß es nicht. Aber ich vermute aufgrund der o.g. Punkre, dass es ein gezielter Angriff hätte werden sollen. Der wurde letztendlich vereitelt, dank Open Source und wachsamen Leuten. Trotzdem muss sowas in Zukunft noch viel früher erkannt werden. Die Awareness sollte ja jetzt da sein. Und während Build-Prozessen sollte man nichts mehr vertrauen, was nicht direkt im Code-Repo enthalten ist. Keine externen Test-Dateien, keine sonstigen externen Dependencies. Und Tarballs müssen immer gegengeprüft werden, ob sie exakt dem öffentlich sichtbaren Code aus dem Repo entsprechen.
