Quando si tratta di sventare gravi minacce informatiche, a volte la soluzione arriva da dove meno ce l’aspettiamo.
È ciò che è accaduto nel caso di uno dei più sofisticati e pericolosi attacchi degli ultimi anni, scongiurato grazie all’intuito e alla perseveranza di Andres Freund, un ingegnere informatico di 38 anni che lavora per Microsoft a San Francisco.
Una storia a dir poco incredibile, che ci ricorda come anche i dettagli più insignificanti possano talvolta celare insidie di vastissima portata.
E al tempo stesso: meglio non gioire troppo. Quando un disastro viene sventato per caso – e non grazie a procedure sistematiche di sicurezza – è sintomo di un rischio da non sottovalutare affatte.
La scoperta di Andres Freund: la backdoor in xz Utils
Tutto è cominciato all’inizio di quest’anno, quando Freund stava effettuando alcune operazioni di routine sul suo computer. Mentre analizzava i log di test automatizzati, ha notato alcuni messaggi di errore anomali e un ritardo di 600 ms in alcuni processi. Inizialmente non ci ha dato troppo peso, archiviandoli per poi tornare a esaminarli in un secondo momento.
Qualche settimana dopo, però, si è accorto che l’applicazione SSH, utilizzata per accedere ai computer da remoto, stava consumando più risorse del solito. Indagando, ha scoperto che il problema era legato a un insieme di strumenti di compressione dati chiamato xz Utils.
Ciò che Freund non poteva immaginare è che la sua curiosità e la sua attenzione ai dettagli avrebbero portato alla scoperta di una backdoor nascosta all’interno di xz Utils, una libreria open source integrata in molte distribuzioni Linux.
La backdoor, un codice maligno inserito intenzionalmente, avrebbe permesso a chiunque ne fosse entrato in possesso di accedere in remoto ai sistemi compromessi e di eseguire comandi con privilegi di amministratore.
Solo un nerd poteva avere tanta ostinazione nell’indagare un ritardo di 600 ms; ed è “la prova che i nerd giocano un ruolo importante nella nostra economia”, ha detto, un po’ scherzando e un po’ no, Casey Newton di The Verge.
Sventato un attacco informatico con possibili conseguenze globali disastrose
La portata potenziale di questa vulnerabilità era in effetti molto grave. Linux è il sistema operativo open source più diffuso al mondo, utilizzato su milioni di server di banche, ospedali, governi e grandi aziende. Tale sistema operativo, come molti altri software open source, viene costantemente aggiornato da una comunità di sviluppatori, spesso volontari, che contribuiscono al suo miglioramento e alla sua manutenzione.
Tuttavia, questo caso sottolinea come anche sistemi così diffusi e scrutati possano essere vulnerabili a manipolazioni dannose, ponendo un rischio incommensurabile per la sicurezza globale. Se questa backdoor fosse rimasta inosservata, avrebbe potuto consentire a degli hacker di rubare informazioni riservate, installare malware dannosi o causare gravi interruzioni di servizio, con conseguenze disastrose a livello globale.
Inizialmente, Freund stesso faticava a credere alle proprie scoperte, tuttavia più approfondiva le sue indagini, più emergevano prove inquietanti di un’operazione sofisticata e paziente, volta a compromettere i sistemi informatici di tutto il mondo. Il coinvolgimento della comunità di sviluppatori di software open source da parte di Freund ha innescato una reazione a catena di fondamentale importanza. In tempi rapidi, è stata predisposta una correzione per eliminare la vulnerabilità individuata, mentre esperti di cybersicurezza hanno riconosciuto al 38enne il merito di aver sventato quello che poteva rivelarsi un attacco informatico senza precedenti. Un assalto che, qualora non fosse stato bloccato, avrebbe potenzialmente consentito agli hacker di assumere il controllo di centinaia di milioni di sistemi in ogni angolo del globo.
Jia Tan: l’architetto della backdoor
Ma chi è stato a inserire questa backdoor all’interno di xz Utils? E con quali intenzioni? Le indagini hanno rivelato che dietro tutto questo si cela una figura misteriosa, che opera sotto lo pseudonimo di “Jia Tan”.
Analizzando la storia di Jia Tan nel mondo della programmazione open source, emerge un quadro inquietante. Questa persona (o gruppo di persone) ha iniziato a contribuire a diversi progetti open source a partire dal 2021, guadagnandosi gradualmente la fiducia degli altri sviluppatori con un approccio paziente e meticoloso. Nel gennaio 2023, il codice di Jia Tan è stato integrato in xz Utils, e nei mesi successivi ha preso il controllo del progetto dal suo manutentore originale, che ha dovuto disimpegnarsi per problemi psicologici.
L’identificazione dei possibili responsabili dell’inserimento della backdoor
Sfruttando la natura collaborativa del software open source e anche il fatto che la manutenzione di questi progetti ha un’affidabilità instabile (essendo del tutto volontaria), Jia Tan è riuscito a far accettare le proprie modifiche al codice, inclusa la backdoor scoperta da Freund. Secondo gli esperti, l’approccio adottato suggerisce il coinvolgimento di un gruppo di hacker sponsorizzato da una nazione, con vaste risorse e una pianificazione di lungo termine.
Tra i principali indiziati ci sono Russia, Cina e Corea del Nord, nazioni note per le loro capacità di hacking e per aver portato a termine attacchi simili in passato. In particolare, molti esperti puntano il dito verso il gruppo di hacker russi, APT29 ritenuto collegato all’agenzia di intelligence estera russa SVR e considerato il responsabile dell’attacco a “SolarWinds” ovvero uno dei più devastanti attacchi alla supply chain software della storia recente.
Quel che è certo è che Jia Tan ha adottato un’eccellente operazione di sicurezza, cancellando quasi ogni traccia della propria identità online. Le poche impronte lasciate sono i contributi al codice open source, dove Jia Tan si è rivelato un collaboratore prolifico, apportando migliaia di modifiche a diversi progetti tra il 2021 e il 2024. Secondo gli analisti, questo non era un semplice tentativo di sabotaggio diffuso, ma una preparazione accurata per l’attacco mirato a xz Utils, e potenzialmente ad altri progetti in futuro. L’obiettivo finale sembra essere stato quello di infiltrarsi nei sistemi informatici di tutto il mondo, prendendo il controllo di infrastrutture critiche come quelle di banche, ospedali e governi.
Lezioni apprese e l’importanza della sicurezza informatica
La vicenda di Jia Tan e della backdoor di xz Utils rappresenta un monito per l’intera comunità informatica. La sicurezza dei nostri sistemi digitali, sui quali facciamo sempre più affidamento, non può essere data per scontata. Allo stesso tempo, questa storia ci ricorda che la vigilanza e l’attenzione ai dettagli di persone come Andres Freund possono fare la differenza tra un potenziale disastro e la salvezza.
Un ingegnere curioso e meticoloso ha sventato quello che avrebbe potuto essere uno dei più grandi attacchi informatici di sempre, dimostrando che a volte sono le figure più inaspettate a rivelarsi gli eroi di cui abbiamo bisogno.
Questo episodio ci ricorda anche l’importanza di promuovere la collaborazione e la condivisione di informazioni all’interno della comunità della sicurezza informatica. Solo unendo le forze e mantenendo un alto livello di vigilanza saremo in grado di contrastare le crescenti minacce cyber che provengono da attori statali e non statali.
I nemici ci riproveranno e i loro margini di manovra sono ampi
Su un piano più negativo la storia insegna anche gli attacchi nation-state diventano sempre più sofisticati e potenzialmente molto pericolosi, potendo sfruttare note vulnerabilità della supply chain del software open source. Una valutazione che era già stata fatta ai tempi dell’analoga vulnerabilità log4j e ora ribadita da alcuni esperti.
Sembra inevitabile che Russia, Cina (Iran, Corea del Nord…) ci ritenteranno. Anzi: considerati i tempi lunghi di queste azioni, magari lo stanno già facendo, silenziosamente.
Conclusioni
In conclusione, la storia di Andres Freund, che ricorda l’eroico intervento di Stanislav Petrov, ex tenente colonnello delle Forze di Difesa Aerea Sovietiche che nel 1983 scongiurò una crisi nucleare, rimarca il potere e l’importanza delle azioni individuali nella prevenzione delle catastrofi globali, sia nel dominio fisico che in quello digitale.
Proprio come Petrov, Andres Freund ha dimostrato che l‘osservazione attenta, la competenza tecnica e il coraggio di agire possono fare la differenza nel proteggere il mondo da minacce invisibili ma incredibilmente pericolose, rendendolo un eroe per caso dell’era digitale.
E tuttavia la famosa frase “poveri i Paesi che hanno bisogno di eroi” si può applicare bene anche al mondo della cyber security.
Abbiamo bisogno di ripensare la sicurezza della supply chain software, anche (e soprattutto forse) open source. Altrimenti la prossima volta potremmo non essere così fortunati.
