Re: Backdoor Linux: Social ingineering, GIT, xz/liblzma, ssh…

Top Page

Reply to this message
Author: Olivier Allard-Jacquin
Date:  
To: guilde
Subject: Re: Backdoor Linux: Social ingineering, GIT, xz/liblzma, sshd
    Bonsoir,

Le 01/04/2024 à 22:33, Xavier Belanger a écrit :
>
> Là où les choses sont plus compliquées serait de savoir
> le "pourquoi" Jia Tan à fait tout cela. Ma théorie à deux sous
> est qu'il est employé par un service gouvernemental ou
> une organisation criminelle (il y a une différence :-) et que
> tout ceci à été planifié à l'avance.


    La cible étant clairement SSHD, on peut imaginer que c'est plus que 
probablement une organisation plus importante qu'un simple développeur 
qui a mis en place ce truc.


    Ou alors, ce type est un "génie du crime" mégalo.


    On peut en effet imaginer que cela peut potentiellement lui donne un 
accès à toutes machines qui a un serveur SSH connecté à un réseau, ce 
qui fait beaucoup.


    A noter que dans le cas de Linux, l'attaque nécessite que sshd utilise 
liblzma, ce qui n'est probablement pas une obligation.


    Dans le cas de Debian, c'est un patch de systemd qui donne cette 
capacité à sshd.


    Et d'après https://news.ycombinator.com/item?id=39866076 , on parle de 
"However debian and **several other distributions** patch openssh to 
support systemd notification, and libsystemd does depend on lzma."


    Enfin, concernant l'origine de ce "Jia Tan", 
https://boehs.org/node/everything-i-know-about-the-xz-backdoor indique 
que ce nom aurait pour pour origine le sud-est asiatique, de même que 
l'adresse IP utilisée dans un vieux chat IRC indiquerait le passage par 
un VPN de Singapour.
Mais franchement, tout personne ou groupe de personnes qui se lancerait 
dans un tel truc, commencerait par bidonner ces informations-là, afin de 
de cacher sa véritable identité.


    Cordialement,
                            Olivier
-- 
~~~~~~~  _____/\_____  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Phoenix /   _ \/ _   \    Olivier Allard-Jacquin
        /   / \  / \   \   Web:  http://olivieraj.free.fr/
       /___/  /  \  \___\  Mail: olivieraj@???
~~~~ /////  ///\\\  \\\\\ ~~~~~~~~~~~~~~~~~~~~~~~ Linux Powered !!