Gefährliche Hintertür in Linux entlarvt

Eher durch Zufall wurde zum Wochenende einer der größten und am besten ausgeführten Angriffe auf Linux-Systeme entdeckt, die es jemals gegeben hat. Die Verantwortlichen hatten das Vorgehen über Jahre minutiös geplant und in die Tat umgesetzt. Update vom 02.04.2024: Microsoft hat eine detaillierte FAQ veröffentlicht. Darin werden weitere wichtige Fragen für Anwender von Linux beantwortet wie zum Beispiel, welche Distros genau betroffen sind und wie man das die Hintertür beseitigt.

Entwickler entdeckt Auffälligkeiten

Zum Start des Osterwochenendes am Freitag machte Microsoft-Mitarbeiter Andres Freund eine etwas zufällige und gleichzeitig verstörende Entdeckung. Beim Mikro-Benchmarking eines Debian Linux Systems beobachtete der Software-Ingenieur, dass SSH-Logins deutlich länger brauchten als zuvor.

Nach etwas Detektivarbeit fand er heraus, dass der Grund dafür ein Prozess war, der im Rahmen von xz Utils ausgeführt wurde, einer Sammlung von freien Packprogrammen für Unix-Systeme, die in beinahe allen Linux-Distributionen zu finden sind.

Lang geplante Einschleusung

Nach weiterer Recherche entdeckte er, dass kürzliche Änderungen an der Codebasis der Komprimierungssoftware vorgenommen wurden, die belegen, dass absichtlich eine Hintertür durch eine Person mit dem Decknamen Jia Tan eingebaut worden war. Dieser Nutzer hatte seit 2021 an xz Utils mitgearbeitet. Wie sich auch herausstellte, hatten wohl andere Personen unter falscher Identität Druck auf den Inhaber des Projekts Lasse Colin ausgeübt, sodass dieser Jia Tan 2023 weitreichende Zugriffsrechte auf den Code gewährte.

In den folgenden Monaten wurde Jia Tan immer aktiver. Erst im Februar erstellte Tan dann Commits für die Versionen 5.6.0 und 5.6.1 von xz Utils. Mit diesen Aktualisierungen wurde die Hintertür eingebaut. In den darauffolgenden Wochen warben Tan und andere bei den Entwicklern von Ubuntu, Red Hat und Debian regelrecht dafür, die Aktualisierungen in ihre Betriebssysteme einzubinden.

Source: StatCounter Global Stats - OS Market Share

Eindringling erhält volle Systemkontrolle

Letztlich ermöglicht es der eingeschleuste Code einer Person, sich über SSH bei dem durch die Hintertür schutzlosen System anzumelden. Von da an hätte der Angreifer den gleichen Grad an Kontrolle wie jeder autorisierte Administrator gehabt. "Die Hintertür ist sehr heimtückisch", sagten mehrere Experten, die die Sicherheitslücke mittlerweile per Reverse Engineering analysiert haben.

Umstände bleiben unklar

Die Persona Jia Tan hat in den letzten Jahren an Dutzenden anderen Open-Source-Projekten mitgewirkt. Momentan ist noch unklar, ob hinter diesem Benutzernamen eine reale Person steckt. Aufgrund des aufwendigen Vorgehens über mehrere Jahre vermuten aber viele, dass eine staatliche Hackergruppe hinter dem Ganzen steckt, und dass dies ein Versuch war, den Grundstein für weitere extrem gefährliche und nahezu unauffindbare Hintertüren in Software-Anwendungen zu legen.

Am Ende des Tages sollten wohl alle froh darüber sein, dass Andres Freund die Lücke entdeckt hat, bevor sie es in stabile Linux-Versionen geschafft hat, um noch mehr Schaden anzurichten. Nun bleibt zu hoffen, dass diese Vorgehensweise der Einschleusung von Hintertüren in Open-Source-Software nicht etliche Nachahmer findet.


Siehe auch: