xz sshdバックドアのラビットホール、予想よりはるかに深い

Hacker Newsの意見

• Hacker Newsコメント集の要約:
  • 専門性と素人っぽさの同居: 攻撃者が信頼できる身元を築き、重要なパッケージのメンテナーになるまでに長い時間をかけたこと、ソーシャルエンジニアリング攻撃に複数人が関与したこと、実際の身元と攻撃の発信元を隠したこと、そして使われた高度さや難読化技法はプロフェッショナルだった。しかし、バグや性能低下が本番バージョンに現れた点はややアマチュア的でもある。
  • 性能低下による発覚: 攻撃の巧妙さにもかかわらず、性能低下が目立ったことで発見された。犯罪を犯して見つかる方法は無数にあり、その半分でも思いつけるなら天才だ、という引用を思い出させる。
  • 難読化されたバックドア分析: バックドア自体の難読化についての分析が必要。Ghidraを使ってバイナリを解析したが、実行を横取りする ifunc メカニズムに慣れていなかったため、ほかの人たちに分析を任せた。バックドアが暗号化されたバイナリとして提供されていたため、コードの一部も暗号化されていたのではないかと推測される。
  • 代替リンクの提示: theaderapp.com の代替として nitter.poast.org へのリンクを提示。
  • 発見の重要性: バックドアが広く拡散する前に発見されたのは幸運だった。1者だけが RCE（リモートコード実行）を持つよりも、すべての当事者がアクセスできるようになるほうがはるかに悪い。
  • 攻撃者に関する議論の不在: この件を詳しく追ってはいないが、攻撃者についての議論がまったくないのは奇妙だ。
  • 長期的戦略への懸念: 攻撃者がバックドアを作るための「インフラ」を構築するのに時間を費やしたように、攻撃が実地で行われた後も長期戦を続けるつもりだったはずだ。今もそのようなゲームが進行中なのか気になる。
  • 性能テストの説明の要請: このバックドアの発見に使われた性能テストについて、良い説明や入門資料があるか、性能測定の方法を学びたいという要望。
  • 原著者への称賛: まだ誰も触れていないが、この文章の原著者には大きな賛辞を送りたい。非常に印象的な仕事だ。