Andres Freund, ingegnere Microsoft, ha scoperto una backdoor particolarmente sofisticata in un software di Linux. Gli indizi, come le tecniche di humint attuate, suggeriscono lo zampino di un’agenzia d’intelligence, forse di Mosca
“Un solo uomo ha fermato un gigantesco cyberattacco?”, si chiede il New York Times. “Un attacco stealth ha rischiato di compromettere i computer di tutto il mondo”, scrive l’Economist.
Sia il quotidiano americano sia il settimanale britannico raccontano la storia di Andres Freund, un ingegnere informatico di 38 anni che vive a San Francisco e lavora alla Microsoft su PostgreSQL, il più avanzato database open source. Durante un’attività di routine, ha trovato, per caso, una backdoor nascosta in un software che fa parte del sistema operativo Linux. Era un possibile preludio a un grande attacco informatico che, secondo gli esperti, avrebbe potuto causare danni enormi. Satya Nadella, amministratore delegato di Microsoft, ha lodato le sue “curiosità” e “abilità”. Di lui girano meme. Ormai è venerato nella sua comunità.
L’aggressore, che utilizza il nome di fantasia Jia Tan, sembra aver trascorso diversi anni guadagnando, lentamente e pazientemente, la fiducia degli altri sviluppatori di xz Utils fino a poter inserire il codice con la backdoor nascosta all’inizio di quest’anno. Secondo gli esperti citati dall’Economist la backdoor sarebbe stata forse troppo furtiva perché alcuni dei passaggi adottati nel codice per nascondere il suo vero scopo potrebbero averla rallentata e quindi aver fatto scattare l’allarme.
Anche lo Csirt Italia, dell’Agenzia per la cybersicurezza nazionale, ha diffuso sulla vulnerabilità, identificata come CVE-2024-3094, consigliando azione di mitigazione.
Ci si chiede ora se esistono altre backdoor simili. Ma anche chi sia Jia Tan. Freund, intervistato dal New York Times, non ha voluto ipotizzare chi possa esserci dietro l’attacco. Ma ha detto che chiunque sia stato è stato abbastanza sofisticato da cercare di coprire le proprie tracce, anche aggiungendo il codice che ha reso la backdoor più difficile da individuare. Alcuni ricercatori sono convinti che la strada non possa che portare a una nazione con importanti capacità di hacking, come la Russia o la Cina.
The Grugq, un ricercatore molto quotato che opera sotto pseudonimo, ha spiegato che l’approccio paziente di Jia Tan, sostenuto da diversi altri che hanno spinto lo sviluppatore Lasse Collin a passargli il testimone, fa pensare a una sofisticata operazione di human intelligence da parte di un’agenzia statale. I suoi sospetti sono rivolti verso Mosca, in particolare verso l’Svr, il servizio di spionaggio estero della Russia, che nel 2019-20 ha anche compromesso SolarWinds Orion. L’hacker ha cercato di non dare indizi sul suo fuso orario. Ma probabilmente, scrive l’Economist, è due o tre ore avanti rispetto all’ora di Greenwich. Il che suggerisce che potrebbe essere stato nell’Europa orientale o nella Russia occidentale. Inoltre, non ha lavorato nei giorni festivi dell’Europa orientale. “Per ora, tuttavia, le prove sono troppo deboli per individuare un colpevole”, osserva il settimanale.