أول اختراق للإنترنت: متطوع واحد كاد أن يُسقط لينكس

خمسمائة مللي ثانية.

نصف ثانية.

الهامش الذي بسببه لم يتم اختراق الإنترنت.

مارس 2024. San Francisco.

مهندس في Microsoft يبلغ من العمر ثمانية وثلاثين عامًا، اسمه Andres Freund، يجري اختبارات أداء لـ PostgreSQL على نظام تطوير Debian. إنها مهمة روتينية. Freund هو أحد المساهمين في مشروع PostgreSQL. يقوم باختبار أداء قواعد البيانات مقابل توزيعات Linux قبل الإصدار كجزء منتظم من عمله.

هناك شيء خاطئ في بيئة الاختبار.

محاولات تسجيل الدخول الفاشلة عبر SSH — من النوع الذي يستهدف كل خادم عام باستمرار، روبوتات مؤتمتة تحاول مجموعات عشوائية من أسماء المستخدمين وكلمات المرور — تستخدم قدرًا أكبر بكثير من وحدة المعالجة المركزية (CPU) مما ينبغي. يجب أن تنتهي محاولة تسجيل الدخول الفاشلة بسرعة. هذه لا تنتهي بسرعة.

Freund يلاحظ ذلك.

يواصل التحقيق. يستغرق تسجيل الدخول الناجح عبر SSH، على جهازه المحلي، خمسمائة مللي ثانية أطول من الأساس البالغ حوالي مائة مللي ثانية.

نصف ثانية.

يشغل Freund الاتصال تحت Valgrind، وهي أداة تصحيح أخطاء الذاكرة. يرمي Valgrind أخطاء تشير إلى liblzma — وهي مكتبة ضغط ليس لـ SSH daemon أي سبب مشروع لاستدعائها.

هنا يصبح التحقيق عاجلاً.

على مدى الأيام القليلة التالية، يتتبع Freund الأخطاء. يجد أن عملية sshd على جهاز الاختبار الخاص به تنفذ تعليمات برمجية من liblzma أثناء المصادقة. يقوم بتحليل مصدر xz-utils في مستودع git. المصدر نظيف. لكن حزمة الإصدار tarball — الأرشيف المضغوط للمصدر الذي يقوم Debian بتنزيله وبنائه فعليًا — يحتوي على ملف يسمى build-to-host.m4 غير موجود في مصدر git.

يحتوي هذا الملف على نص برمجي مشوش. يقوم النص البرمجي بفك تشفير نص برمجي آخر مخفي داخل ملف اختبار يسمى bad-3-corrupt_lzma2.xz — وهو ملف متنكر كمدخل اختبار معطل لمعالجة الأخطاء في مكتبة الضغط. يقوم نص bash بفك تشفير ملف ثانٍ، good-large_compressed.lzma، باستخدام تشويش مخصص مدمج مع فك تشفير RC4.

ما يظهر في نهاية السلسلة هو كائن مشترك مترجم.

الكائن المشترك هو باب خلفي.

في مساء التاسع والعشرين من مارس 2024 — بينما، حسب قوله، كان يستمع إلى بودكاست أمني أثناء استراحة الطهي — ينشر Andres Freund نتائجه إلى قائمة البريد الإلكتروني oss-security في Openwall.

في غضون 24 ساعة، قامت Red Hat بتعيين رقم CVE له. درجة الخطورة هي عشرة فاصل صفر. الأعلى الممكنة. تصدر CISA إشعارًا طارئًا. تقوم Debian و SUSE و Fedora و Arch و Kali جميعها بإرجاع الحزم المتأثرة. يعلق GitHub حساب المطور الذي أضاف الباب الخلفي.

تبين أن الباب الخلفي كان من المقرر أن يتم شحنه مع توزيعات Linux المستقرة في غضون أسبوعين تقريبًا.

اكتشفه Freund بالصدفة.

هذا هو ملف القضية حول ما حدث. حول ما كاد أن يحدث. وحول ماهية العملية.

كان هدف الهجوم هو xz-utils.

xz-utils هي مجموعة أدوات ضغط. أداتها الرئيسية، الأمر xz، تنتج ملفات .xz — مكافئ Unix لملفات .zip، بنسب ضغط أعلى. تحت أداة سطر الأوامر توجد مكتبة تسمى liblzma، والتي توفر خوارزمية الضغط للبرامج الأخرى التي تحتاج إليها.

يتم تحميل liblzma، بشكل مباشر أو غير مباشر، بواسطة كمية هائلة من برامج نظام Linux. ترتبط بها مديرات الحزم. ترتبط بها أدوات النظام المساعدة. ومن خلال سلسلة صممها المهاجمون خصيصًا — يرتبط بها OpenSSH daemon.

تسير السلسلة على النحو التالي: في معظم توزيعات Linux الرئيسية، يتم ترقيع sshd لدعم آلية إشعارات خدمة systemd، المسماة sd_notify. يتسبب هذا الترقيع في تحميل sshd لمكتبة تسمى libsystemd. و libsystemd، بدوره، يحمل liblzma.

النتيجة: في معظم خوادم Linux الإنتاجية، يقوم SSH daemon — العملية التي تقبل عمليات تسجيل الدخول عن بُعد — بتحميل مكتبة ضغط عند بدء التشغيل، على الرغم من أن SSH لا يضغط حركة مرور المصادقة.

اختراق مكتبة الضغط، ويعني ذلك اختراق Daemon الذي يتحكم في الوصول عن بُعد إلى كل خادم Linux على الإنترنت.

في لحظة الاقتراب من نشر الباب الخلفي، كان Linux يشغل حوالي ستة وتسعين بالمائة من أفضل مليون خادم ويب في العالم. جميع خمسمائة من أقوى الحواسيب الفائقة في العالم. حوالي اثنين وتسعين بالمائة من الأجهزة الافتراضية عبر Amazon Web Services و Google Cloud و Microsoft Azure. Android، الذي يشغل حوالي خمسة وثمانين بالمائة من الهواتف الذكية في العالم، مبني على نواة Linux.

الباب الخلفي xz-utils، لو تم شحنه إلى التوزيعات المستقرة، لكان موجودًا في جزء كبير من كل ما سبق.

وصف Alex Stamos، مسؤول الأمن السابق في Facebook، النتيجة المرجوة بعبارة واحدة: مفتاح رئيسي لأي خادم SSH على وجه الأرض.

لهذا السبب تم تسجيل CVE بعشرة فاصل صفر.

التصميم الفني للباب الخلفي يستحق الفهم بدقة.

استغل المهاجم حقيقة أن حزم الإصدار tarballs تحتوي على ملفات يتم إنشاؤها تلقائيًا ولا توجد في مصدر git الذي يتم التحكم في الإصدار الخاص به. على وجه التحديد، احتوى ملف build-to-host.m4 في حزمة tarball على سطر واحد تم تعديله لحقن نص برمجي مشوش في خطوة التكوين لعملية البناء.

هذا يعني أن أي شخص يقرأ شيفرة مصدر git لم يكن بإمكانه رؤية الباب الخلفي. أي شخص يقوم بالبناء من git لم يكن بإمكانه تشغيله. فقط توزيعات Linux، التي تبني من حزم الإصدار tarballs — وهي في الواقع جميعها — هي من ستنفذ عملية الحقن.

كانت سلسلة الحقن مكونة من ثلاث مراحل. المرحلة الأولى استخرجت نصًا برمجيًا من ملف متنكر كمدخل اختبار ضغط فاسد. المرحلة الثانية استخدمت هذا النص البرمجي لفك تشفير ملف اختبار ثانٍ إلى كائن مشترك مترجم. المرحلة الثالثة ربطت الكائن المشترك بالملف الثنائي المترجم liblzma.

استخدم الكائن المشترك ميزة glibc شرعية تسمى IFUNC — محللات الوظائف غير المباشرة — لاختراق وظيفة OpenSSH محددة تسمى RSA_public_decrypt.

RSA_public_decrypt هي وظيفة OpenSSH التي تتحقق من توقيعات RSA أثناء مصادقة الشهادة. في كل مرة يحاول العميل الاتصال باستخدام شهادة RSA، يستدعي sshd هذه الوظيفة للتحقق من التوقيع.

مع تفعيل الباب الخلفي، كان sshd يستدعي شيفرة المهاجم بدلاً من ذلك.

فحصت شيفرة المهاجم معامل RSA العام — القيمة الصحيحة الكبيرة التي يتم تمريرها في شهادة العميل. عادةً، تُستخدم هذه القيمة في التحقق القياسي لـ RSA. في الباب الخلفي، كانت في الواقع حاوية حمولة. قامت الشيفرة بفك تشفير الحمولة باستخدام مفتاح متماثل ChaCha20 ثابت. ثم تحققت من توقيع الحمولة المفككة باستخدام مفتاح عام Ed448 ثابت.

إذا تم التحقق من التوقيع — مما يعني أن الحمولة كانت موقعة بالمفتاح الخاص للمهاجم — فإن الشيفرة كانت تنفذ أوامر الشل المضمنة بصلاحيات الجذر.

هذا ما يسميه باحثو الأمن تنفيذ التعليمات البرمجية عن بعد المبوب (gated remote code execution). ينشط الباب الخلفي فقط عندما يقدم المهاجم توقيعًا تشفيريًا صالحًا. لا يمكن للمهاجم العادي الذي عثر على الباب الخلفي استغلاله. فقط حامل المفتاح الخاص Ed448 يمكنه تشغيله.

هذا التفصيل مهم. الجهة الإجرامية التي تبني ثغرة للبيع تجعلها قابلة للاستخدام لمن يشتريها. أما الجهة الحكومية التي تبني قدرة وصول مستمر فتجعلها حصرية. فقط هي، وأي شخص تأذن له صراحة، يمكنه استخدام المفتاح.

تم تصميم الباب الخلفي xz-utils للاستخدام الحصري. لم تكن ثغرة أمنية. بل كانت أصلًا استراتيجيًا.

بدأت العملية التي أنتجت الباب الخلفي في السادس والعشرين من يناير 2021.

في ذلك التاريخ، تم إنشاء حساب GitHub تحت اسم المستخدم JiaT75. كان الاسم المعروض Jia Tan. لم يكن للحساب أي أثر رقمي سابق. لا وجود على وسائل التواصل الاجتماعي بهذا الاسم. لا محاضرات في مؤتمرات. لا مساهمات سابقة في المصادر المفتوحة. لا ظهور في خروقات البيانات. يبدو أن الاسم مستعار.

حدثت أول مساهمة عامة لـ JiaT75 في xz-utils في التاسع والعشرين من أكتوبر 2021 — بعد تسعة أشهر من إنشاء الحساب. كانت رقعة صغيرة لملف تكوين محرر. غير ضارة. غير مهمة. نوع المساهمة التي تؤسس الوجود دون لفت الانتباه.

على مدى العامين والخمسة أشهر التالية، ألف JiaT75 أكثر من خمسمائة commit لمشاريع مفتوحة المصدر. الغالبية العظمى كانت تحسينات مشروعة — مراجعات شيفرة، ترجمات، صيانة التكامل المستمر، إصلاحات الأخطاء. عمل مفيد. ومساعد حقًا.

حوالي ثمانية من تلك الالتزامات كانت خبيثة.

النسبة مهمة. ستون إلى واحد. مقابل كل commit خبيث، أنتج المشغل ستين قطعة عمل حقيقية ومفيدة. هذا ما جعل النمط مستحيل الكشف من خلال تحليل الشذوذ الإحصائي. قضى المهاجم سنتين ونصف من الجهد المتفاني في إنتاج مساهمات قيمة حقًا، فقط لتجميع الثقة المطلوبة لإجراء التغييرات الثمانية التي كانت الأهم في النهاية.

لم تعمل العملية بمفردها.

ابتداءً من أبريل 2022، ظهر مستخدم يدعى Jigar Kumar في قائمة البريد الإلكتروني xz-devel. لم يكن لـ Kumar أي تاريخ في القائمة قبل أبريل 2022. كان وجوده بالكامل يتكون من رسائل بريد إلكتروني ضاغطة للمطور الرئيسي للمشروع، يشكو من بطء أوقات الاستجابة ويطالب بإضافة مطور جديد.

في مايو 2022، ظهر حساب ثانٍ — Dennis Ens — يستفسر عن حالة صيانة إصدار Java من xz-utils، ويتبع ذلك برسائل ضغط إضافية.

كان لكلا الحسابين نفس الملف الشخصي. لا وجود رقمي قبل عام 2022. لا نشاط خارج قائمة البريد الإلكتروني xz-devel. لا مشاركة في أي مشروع آخر قبل أو بعد حملة الضغط.

في فبراير 2024 — قبل أسابيع من إدراج الباب الخلفي — ظهر حساب ثالث. Hans Jansen. كان دور Jansen هو الضغط على مطوري Debian لاعتماد النسخة المخترقة من xz-utils في أقرب وقت ممكن. في الخامس والعشرين من مارس 2024، قدم Hans Jansen تقرير خطأ لـ Debian يطلب صراحة الترقية.

بعد أربعة أيام، نشر Andres Freund نتائجه إلى oss-security.

قدم حسابان داعمان إضافيان — krygorin4545 و misoeater91 — ضغطًا خلفيًا في سلاسل مناقشة مختلفة، متبعين نفس النمط. لا وجود قبل العملية. المشاركة فقط خلال فترات ضغط محددة. الاختفاء بعد تحقيق الأهداف.

لاحظ تحليل Kaspersky بعد الحادث أن الأسلوب الجغرافي لأسماء حسابات "sock-puppet" كان غير متناسق — سنغافوري، أوروبي، هندي — مما يشير إلى أن المشغل قام بتشتيت الهويات المستعارة عمدًا لتجنب مظهر التنسيق. لكن النمط السلوكي — توقيت الظهور، نقاط الضغط المتزامنة، الاختفاء الجماعي بعد كل هدف — أشار إلى مشغل واحد أو فريق متناسق بإحكام.

نجح الضغط.

في التاسع والعشرين من يونيو 2022، رد المطور الرئيسي لـ xz-utils — وهو مطور برامج فنلندي اسمه Lasse Collin — على قائمة البريد الإلكتروني وذكر أن Jia Tan سيكون له دور أكبر في المشروع مستقبلاً، وأنه كان، عمليًا، يعمل بالفعل كمطور مشارك.

هذا كان التسليم.

لفهم ما حدث للتو، من الضروري فهم وضع Lasse Collin.

كان Collin يصون xz-utils، بمفرده، منذ عام 2009. كان المشروع غير مدفوع الأجر. عمل عليه في وقت فراغه. في وقت سابق من نفس الشهر، في رد على قائمة بريدية في يونيو 2022، أقر Collin علناً بأنه كان يعاني من مشاكل صحية عقلية طويلة الأمد. وقد أشار إلى المشروع، بكلماته الخاصة، على أنه مشروع هواية غير مدفوع الأجر.

Lasse Collin ليس مسؤولاً عما حدث. مجتمع الأمن كان بالإجماع على هذه النقطة. كان Collin يقوم بعمل هواية غير مدفوعة الأجر. كان يتعامل مع تحديات صحية موثقة. وكان تحت ضغط مستمر ومنسق من ما تبين أنه عملية استخباراتية على مستوى دولة. النظام الذي وضعه في هذا الموقف خذله. هو لم يخذل النظام.

ما استغلته العملية لم يكن كفاءة Collin. بل كان موقعه الهيكلي — وحيدًا، غير مدفوع الأجر، يتعامل مع ضغوط الحياة الواقعية، مسؤولاً عن صيانة بنية تحتية يستخدمها مليارات الأشخاص، بدون دعم مؤسسي.

حدد المهاجم المحترف هذه البنية واستهدفها.

بمجرد اكتمال عملية التسليم، بدأت الاستعدادات للبنية التحتية.

في أكتوبر 2022، أضيف Jia Tan إلى منظمة Tukaani على GitHub. في ديسمبر 2022، أنشأ الهيكل التنظيمي للمستودع وأصدر أول إصدار له. في مارس 2023، غير البريد الإلكتروني الأساسي لجهة الاتصال الأمنية في OSS-Fuzz من Google — وهي منصة المسح التلقائي للثغرات الأمنية — من عنوان Lasse Collin إلى عنوانه الخاص. من تلك النقطة فصاعدًا، أي تقرير خطأ متعلق بالأمن سيصل إلى Jia Tan قبل أن يصل إلى أي شخص آخر.

في يونيو 2023، قدم Jia Tan بنية تحتية لمحلل IFUNC إلى liblzma. بدت الـ commits كعمل مشروع لتحسين الأداء. ولكن بالنظر إلى الوراء، كانت هي السنارات التي سيتم من خلالها حقن الباب الخلفي في النهاية.

في يوليو 2023، فتح Jia Tan طلب سحب على OSS-Fuzz لتعطيل فحص IFUNC (IFUNC fuzzing) لـ xz. كان الهدف من التغيير هو منع خط أنابيب اختبار الضباب (fuzz-testing pipeline) من اكتشاف أي شذوذ في الباب الخلفي المستند إلى IFUNC عندما يتم شحنه في النهاية.

في فبراير 2024، تسبب commit منفصل في تعطيل اكتشاف نظام البناء لـ Landlock — وهي ميزة أمنية في نواة Linux تقيد امتيازات العمليات. أوقف الـ commit sandbox الخاص بـ xz على الأنظمة التي كانت ستفرضه لولا ذلك.

في الثالث والعشرين من فبراير والتاسع من مارس 2024، تم إدراج الباب الخلفي نفسه على مرحلتين، وتم تجميعه كجزء من إصدارات xz-utils 5.6.0 و 5.6.1.

بعد تسعة عشر يومًا، لاحظ Andres Freund تأخيرًا قدره 500 مللي ثانية في SSH.

لاحظ الباحثون الذين يحللون بيانات commit الوصفية التي خلفتها العملية نمطًا.

تجمعت الطوابع الزمنية لـ Jia Tan بشكل أساسي في المناطق الزمنية لأوروبا الوسطى أو أوروبا الشرقية. كانت ساعات العمل تتوافق تقريبًا من التاسعة صباحًا إلى الخامسة مساءً بتوقيت وسط أوروبا. استمر النشاط خلال العطلات الرسمية الصينية الكبرى وتوقف خلال عدة عطلات أوروبية.

كان الاسم، والجغرافيا التشغيلية المعلنة، من شرق آسيا. أما نمط العمل الفعلي فكان أوروبيًا.

هذا ما يسميه محللو الحرف الاستخباراتية تسرب التوقيع (signature leakage). قضى المشغل أكثر من ثلاثين شهرًا في الحفاظ على هوية غطاء. لكن الطوابع الزمنية التلقائية المضمنة في كل git commit كشفت بشكل دوري الموقع الفعلي للجهاز الذي كان يقوم بالـ commit.

ظهرت ثلاثة ترشيحات لجهات الفاعلة في التحليل العام من قبل باحثي الأمن ذوي الخبرة ذات الصلة.

قيم باحث الأمن الأمريكي Dave Aitel، عالم الكمبيوتر السابق في NSA، علنًا أن العملية تتناسب مع النمط المنسوب إلى APT29 — مجموعة التهديد المستمر المتقدمة التي نسبتها حكومتا الولايات المتحدة والمملكة المتحدة إلى جهاز المخابرات الخارجية الروسي. تُعرف APT29 بحملات التجسس طويلة الأمد، بما في ذلك اختراق سلسلة التوريد SolarWinds الذي تم الكشف عنه في عام 2020. ساعات العمل المتوافقة مع توقيت موسكو تتطابق مع نمط Jia Tan.

Costin Raiu — المدير السابق لفريق الأبحاث والتحليل العالمي في Kaspersky، مع ثلاثة عقود من الخبرة في تحديد العمليات المعقدة — حدد ثلاثة مرشحين محتملين في مقابلة بودكاست في فبراير 2026. APT29 الروسية كانت واحدة. APT41 الصينية، المرتبطة بوزارة أمن الدولة، كانت الثانية. Lazarus Group من كوريا الشمالية، والتي ظهرت بالفعل في تغطية Fragment Zero السابقة، كانت الثالثة.

اعتبارًا من أبريل 2026، لم ينسب أي جهاز استخبارات العملية علنًا. لم يتم تقديم أي لوائح اتهام. لم تتم أي اعتقالات. الهوية الحقيقية لـ Jia Tan لا تزال مجهولة.

ما لا خلاف عليه، بين الباحثين ذوي الخبرة في الحرف الاستخباراتية ذات الصلة، هو أن صبر العملية وأمنها التشغيلي وتطورها التشفيري والتزامها بالموارد تتسق مع جهاز استخبارات دولة قومية — أو ما يعادله وظيفيًا عن كثب — وتتناقض مع نشاط إجرامي فردي أو نشاط قراصنة ناشطين.

لم يكن هذا عمل قرصان منفرد.

كانت عملية xz-utils ممكنة بسبب سمة هيكلية في كيفية بناء حضارة التكنولوجيا الحديثة لبنيتها التحتية الحيوية.

تم بناء البرمجيات التي تشغل الإنترنت، إلى حد كبير، بواسطة متطوعين يعملون في أوقاتهم الخاصة. وقد ساهمت الشركات التي تستفيد من هذه البرمجيات بجزء صغير من قيمتها الاقتصادية.

تم تجميع xz-utils مع كل توزيعة Linux رئيسية وعمل على جزء هائل من الخوادم العالمية. كان مطورها غير مدفوع الأجر. OpenSSL، المكتبة التي توفر التشفير لمعظم الإنترنت، كانت تعاني بشكل سيء من نقص الموظفين قبل ثغرة Heartbleed في عام 2014. Log4j، مكتبة تسجيل Java وراء ثغرة Log4Shell في عام 2021، تمت صيانتها من قبل مجموعة صغيرة من المتطوعين — وراء البنية التحتية للمؤسسات على مستوى العالم.

في كل حالة، كانت مكتبة تُعامل كبنية تحتية حيوية من قبل شركات بمليارات الدولارات تتم صيانتها بموارد مشروع هواية.

لم تخترع عملية xz-utils هذه الثغرة الهيكلية. بل استغلتها.

في الحادي عشر من أبريل 2024 — بعد أسبوعين من كشف Freund — نشرت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية بيانًا رسميًا يعترف بالمشكلة الهيكلية. موقف CISA: لا يمكن أن يقع عبء تأمين البنية التحتية مفتوحة المصدر على المطورين الأفراد غير المدفوعين، ويجب على الشركات التي تستهلك البرامج مفتوحة المصدر أن تساهم بالمقابل، إما ماليًا أو من خلال وقت المطورين، لإنتاج نظام بيئي مستدام.

كانت التوصيات غير ملزمة. كانت أفضل الممارسات. اعتمدت على التبني الطوعي من قبل الشركات التي لم يكافئ هيكل حوافزها تاريخيًا هذا الاستثمار.

في غضون شهر، أصدرت مؤسسة Linux Foundation ومؤسسة Open Source Security Foundation تنبيهًا مشتركًا يحذر من أن محاولات الاستيلاء بالهندسة الاجتماعية المماثلة كانت قيد التنفيذ بالفعل ضد العديد من المشاريع مفتوحة المصدر الأخرى. كشفت مؤسسة OpenJS Foundation — التي تصون Node.js و jQuery والبنية التحتية ذات الصلة بـ JavaScript — علنًا أنها تلقت حملة ضغط منسقة تتبع نفس نمط xz-utils، وقد رفضتها فقط لأن الكشف عن xz-utils قد علم المجتمع ما الذي يبحث عنه.

وثق تقرير Linux Foundation لعام 2026 النمط الأوسع عبر النظام البيئي. النتيجة الأساسية للتقرير: ما حدث مع xz-utils لم يكن حادثًا فرديًا. لقد كانت طريقة. ويجري محاولة هذه الطريقة على نطاق واسع. تحدث معظم الاكتشافات الناجحة لأن قضية xz-utils قدمت توقيعًا للمطابقة ضده.

عدد الاكتشافات غير الناجحة — العمليات الجارية بالفعل والتي لم يتم كشفها بعد — مستحيل إحصاؤه من المصادر العامة بطبيعة الحال.

قبل حلقتين في Fragment Zero، تم إغلاق ملف القضية المتعلقة بفرضية Dark Forest بملاحظة. المبدأ الذي صاغه Liu Cixin رسميًا في عام 2008 — الصمت كوسيلة للبقاء، والإخفاء كضرورة استراتيجية، والكشف كخطر وجودي — هو أقدم مبدأ للأمن التشغيلي في تاريخ الصراع البشري.

كل قوة عملت في ظل ظروف تهديد غير مؤكد وقدرة غير متكافئة توصلت إلى نفس الاستنتاج.

كن هادئًا. تحرك بحذر. افترض المراقبة.

عملية xz-utils هي تطبيق لمبدأ Dark Forest داخل علاقة ثقة بشرية.

لم يخترق المهاجم جدار حماية. لم يستغل المهاجم ثغرة يوم صفر. لم يتجاوز المهاجم أي حماية تشفيرية. لقد فعل المهاجم شيئًا أبسط بكثير. اختبأ المهاجم على مرأى الجميع لمدة ثلاث سنوات، منتجًا عملًا مفيدًا، باحثًا عن مصداقية حقيقية، يتصرف تمامًا مثل أي مساهم مفيد آخر، بينما كان يُعد — بصمت، بصبر، وبصبر استراتيجي لا يمكن تخيله لمعظم المنظمات التقنية — اللحظة التي سيتم فيها استخدام البنية التحتية المُعدة.

نجح الهجوم بالكامل تقريبًا لأنه كان صامتًا. لم يتم اكتشافه بواسطة أي أداة أمنية، ولا بواسطة أي تدقيق، ولا بواسطة أي دفاع مؤسسي، ولكن من خلال ملاحظة عرضية لمهندس واحد لتأخير غير مفسر قدره خمسمائة مللي ثانية.

بيان Andres Freund حول اكتشافه الخاص، الذي نشره على Mastodon في الأسابيع التي تلت الكشف، يجب أن يغلق ملف القضية.

الاعتماد على الحظ في المستقبل استراتيجية سيئة.

تم اكتشاف الباب الخلفي xz-utils.

يجري الآن، في هذه اللحظة، محاولة نسخة Dark Forest من العملية — تلك التي تستهدف علاقات الثقة بدلاً من أنظمة الكمبيوتر — ضد عدد غير محدد من المشاريع مفتوحة المصدر الهامة الأخرى. النمط يعمل. الحوافز الاقتصادية التي تجعله يعمل لم تتغير بشكل كبير. كانت الاستجابات المؤسسية حقيقية ولكنها غير كافية.

المهندس الذي سيكتشف العملية التالية سيحتاج أيضًا إلى الحظ. سيحتاج إلى النظر إلى المعيار الصحيح في الوقت المناسب على النظام الصحيح. سيحتاج إلى الاهتمام الكافي لتتبع الشذوذ إلى مصدره. سيحتاج إلى نشر نتائجه قبل أن يكون الفاعل الرئيسي للعملية قد شحن الحمولة إلى الإصدارات المستقرة بالفعل.

سيحتاجون، على وجه التحديد، إلى الخمسمائة مللي ثانية.

تلك الفترة الزمنية هي ما وقف بين الإنترنت في مارس 2024 ومفتاح تشفيري واحد يمتلكه فاعل مجهول كان سيفتح كل خادم Linux يعمل بنظام SSH على الأرض.

Fragment Zero ستتابع ملف القضية.

ملف القضية لا يُغلق. إنه ينتظر.