數碼轉型| 史上最強供應鏈攻擊 開源社區機制受考驗

[數碼轉型]

一般人很少接觸Linux，上周出現XZ工具程式庫漏洞，被稱為史上最先進供應鏈攻擊，引起國際關注。攻擊經年部署，過程仿如間諜故事，3月底遭揭發。

全球雲運算以至工業系統，不少使用Linux，可說是全球最流行的作業系統，一般用戶極少接觸作業系統，不少服務背後都以Linux支撐，一旦植入後門惡意程式，黑客可利用SSH程式，隨時登陸系統盗取數據。

Linux系統和工具不少屬開源免費，日常靠義務的軟件工程師維護， XZ是通用數據壓縮格式，XZ utils則是用於壓縮和解壓 XZ的 工具，廣泛用於Linux流行的Red Hat和Debian等發行版本。

今次黑客的背景諱莫如深，長期滲透開源社區，成為維護人員植入惡意代碼，被鎖定懷疑是GitHub用戶Jia Tan （JiaT75），從2021年貢獻源碼，輾轉加入維護群組，成為負責檢查XZ弱點的主要維護人員，年初在5.6.0和5.6.1版本加入後門程式，已被編定為CVE-2024–3094保安事故。

搖動開源社區信心

Juniper Networks亞太區顧問工程團隊總監梁定康說，黑客通過社交工程，花長達數年潛入，背後動用人力物力，實在不容小覷。雖然攻擊沒構成嚴重傷害，卻大大打擊開源生態信心。全球資訊系統極之依賴開源，日常系統均按建議更新，XZ後門有機會短時間感染大量系統。

原來今次揭發攻擊，亦竟非保安專家，而是Microsoft開發人員Andres Freund，調查SSH登錄失敗，系統變慢才發現異常，無意之間揭露攻擊。Freund發現SSH連接登入，速度慢處理器用量異常，原以為Debian系統遭到攻擊，深入調查發現XZ程式庫與Tarball檔案植入後門，揭發攻擊事件。

梁定康說，雖然暫時只影響Linux測試版本，受感染版本流出量不多，但攻擊手法之精密複雜，系統人員不寒而慄。黑客XZ Utils庫植入後門，試圖以開源軟件信任機制，繞過系統身份驗證，策劃之精巧，遠超以往開發因不慎，造成的各種保安漏洞。

滲透社區行動詭秘

Freund偶然發現XZ工具後門，迅速引發開源社區高度關注，有保安專家推測，此可能非單一的個案，黑客精心部署，透過社交工程滲透開源社區，手法隱匿難察，開發管理開放社區的義務人員，保安意識又不足，黑客可乘虛而入。

Jia Tan是何方神聖，仍撲朔迷離，從名字似是星馬華人，時區活動卻在歐洲或中東，潛伏長達三年，起初協助改進XZ工具，博取信任獲社區支持後，部分用戶又指XZ升級太慢，熱心的Jia Tan順利成為管理人員，終露出本來面目，其設計的後門程式，足以避開篩查。 保安專家更懷疑，Jia Tan可能不只一人，背後有組織甚至國家支持，才能花數年隱伏滲入代碼，以便部署植入後門，以不被發現。 目前，全球保安人員正從蛛絲馬跡，找出Jia Tan是真正面目。

梁定康說，如果不及早發現，影響Linux發行版，黑客可繞過身份驗證，挾持OpenSSH伺服器，直接遠端登陸及控制系統，變成全球嚴重保安事故。

開源生態是科技進步的主要動力，全球企業大量使用開源軟件，生態一旦崩潰，足以打擊整個業界。今次發現攻擊的Microsoft，還是Debian的大用戶，估計業界會更關注開源生態安全。道高一尺，魔高一丈，社區內是否有更多Jia Tan正在活動，還是耐人尋味。