Die erste Entführung des Internets: Ein Freiwilliger hätte Linux fast lahmgelegt
Fünfhundert Millisekunden.
Eine halbe Sekunde.
Die Marge, um die das Internet nicht gekapert wurde.
März 2024. San Francisco.
Ein achtunddreißigjähriger Microsoft-Ingenieur namens Andres Freund führt Benchmarking von PostgreSQL auf einem Debian-Entwicklungssystem durch. Es ist eine Routineaufgabe. Freund ist ein Committer im PostgreSQL-Projekt. Als fester Bestandteil seiner Arbeit testet er die Datenbankleistung gegen Vorabversionen von Linux-Distributionen.
Etwas stimmt nicht mit der Testumgebung.
Fehlgeschlagene SSH-Anmeldeversuche – die Art, die ständig jeden öffentlich zugänglichen Server trifft, automatisierte Bots, die zufällige Benutzernamen- und Passwortkombinationen ausprobieren – verbrauchen weit mehr CPU, als sie sollten. Eine fehlgeschlagene Anmeldung sollte schnell beendet werden. Diese werden nicht schnell beendet.
Freund bemerkt es.
Er untersucht weiter. Erfolgreiche SSH-Anmeldungen auf seinem eigenen lokalen Rechner dauern fünfhundert Millisekunden länger als die Basislinie von etwa einhundert Millisekunden.
Eine halbe Sekunde.
Freund führt die Verbindung unter Valgrind aus, einem Speicher-Debugging-Tool. Valgrind wirft Fehler, die auf liblzma hinweisen – eine Komprimierungsbibliothek, die der SSH-Daemon aus keinem legitimen Grund aufrufen sollte.
Hier wird die Untersuchung dringend.
In den nächsten Tagen verfolgt Freund die Fehler. Er stellt fest, dass der sshd-Prozess auf seiner Testmaschine während der Authentifizierung Code aus liblzma ausführt. Er analysiert den xz-utils-Quellcode im git-Repository. Der Quellcode ist sauber. Aber der Release-Tarball – das komprimierte Quellarchiv, das Debian tatsächlich herunterlädt und daraus erstellt – enthält eine Datei namens build-to-host.m4, die nicht im git-Quellcode enthalten ist.
Diese Datei enthält ein verschleiertes Skript. Das Skript dekodiert ein Bash-Skript, das in einer Testdatei namens bad-3-corrupt_lzma2.xz versteckt ist – einer Datei, die als fehlerhafte Testeingabe für die Fehlerbehandlung der Komprimierungsbibliothek getarnt ist. Das Bash-Skript dekodiert eine zweite Datei, good-large_compressed.lzma, unter Verwendung einer benutzerdefinierten Verschleierung in Kombination mit RC4-Entschlüsselung.
Was am Ende der Kette herauskommt, ist ein kompiliertes Shared Object.
Das Shared Object ist eine Backdoor.
Am Abend des neunundzwanzigsten März 2024 – während er, eigenen Angaben zufolge, während einer Kochpause einen Sicherheitspodcast hörte – veröffentlicht Andres Freund seine Erkenntnisse auf der oss-security-Mailingliste bei Openwall.
Innerhalb von 24 Stunden hat Red Hat ihr eine CVE-Nummer zugewiesen. Der Schweregrad beträgt zehn Komma null. Der höchstmögliche. CISA gibt eine Notfallwarnung heraus. Debian, SUSE, Fedora, Arch und Kali machen alle die betroffenen Pakete rückgängig. GitHub sperrt das Konto des Maintainers, der die Backdoor committet hat.
Die Backdoor sollte sich, wie sich herausstellte, innerhalb von etwa zwei Wochen mit stabilen Linux-Distributionen ausliefern.
Freund entdeckte sie zufällig.
Dies ist die Akte darüber, was geschah. Darüber, was fast geschah. Und darüber, was die Operation war.
Das Ziel des Angriffs war xz-utils.
xz-utils ist ein Komprimierungs-Toolkit. Sein Hauptwerkzeug, der xz-Befehl, erzeugt .xz-Dateien – das Unix-Äquivalent von .zip-Dateien, mit höheren Komprimierungsraten. Unterhalb des Befehlszeilen-Tools befindet sich eine Bibliothek namens liblzma, die den Komprimierungsalgorithmus für andere Programme bereitstellt, die ihn benötigen.
liblzma wird direkt oder indirekt von einer enormen Menge an Linux-Systemsoftware geladen. Paketmanager linken dagegen. Systemdienstprogramme linken dagegen. Und – durch eine Kette, die die Angreifer speziell entwickelt haben – linkt der OpenSSH-Daemon dagegen.
Die Kette verläuft so: Auf den meisten großen Linux-Distributionen ist sshd gepatcht, um den Dienstbenachrichtigungsmechanismus von systemd, genannt sd_notify, zu unterstützen. Dieser Patch bewirkt, dass sshd eine Bibliothek namens libsystemd lädt. Und libsystemd lädt wiederum liblzma.
Das Ergebnis: Auf den meisten produktiven Linux-Servern lädt der SSH-Daemon – der Prozess, der Remote-Anmeldungen akzeptiert – beim Start eine Komprimierungsbibliothek, obwohl SSH den Authentifizierungsverkehr nicht komprimiert.
Kompromittieren Sie die Komprimierungsbibliothek, und Sie kompromittieren den Daemon, der den Remote-Zugriff auf jeden Linux-Server im Internet kontrolliert.
Zum Zeitpunkt der Beinahe-Bereitstellung der Backdoor lief Linux auf rund sechsundneunzig Prozent der weltweit eine Million Top-Webserver. Auf allen fünfhundert der leistungsstärksten Supercomputer der Welt. Auf etwa zweiundneunzig Prozent der virtuellen Maschinen in Amazon Web Services, Google Cloud und Microsoft Azure. Android, das etwa fünfundachtzig Prozent der weltweiten Smartphones antreibt, basiert auf dem Linux-Kernel.
Die xz-utils-Backdoor, wäre sie in stabilen Distributionen ausgeliefert worden, wäre in einem erheblichen Teil all des Genannten vorhanden gewesen.
Alex Stamos, der frühere Chief Security Officer bei Facebook, beschrieb das beabsichtigte Ergebnis in einem Satz: ein Generalschlüssel für jeden SSH-Server auf der Erde.
Deshalb wurde der CVE mit zehn Komma null bewertet.
Das technische Design der Backdoor ist es wert, präzise verstanden zu werden.
Der Angreifer nutzte die Tatsache aus, dass Release-Tarballs automatisch generierte Dateien enthalten, die im versionskontrollierten git-Quellcode nicht existieren. Insbesondere enthielt die Datei build-to-host.m4 im Tarball eine einzelne Zeile, die so modifiziert worden war, dass sie ein verschleiertes Skript in den Konfigurationsschritt des Bauprozesses einschleuste.
Das bedeutete, dass niemand, der den git-Quellcode las, die Backdoor sehen konnte. Niemand, der aus git kompilierte, konnte sie auslösen. Nur Linux-Distributionen, die aus den veröffentlichten Tarballs kompilieren – und das sind praktisch alle – würden die Einschleusung ausführen.
Die Injektionskette bestand aus drei Stufen. Stufe eins extrahierte ein Bash-Skript aus einer Datei, die als beschädigte Komprimierungs-Testeingabe getarnt war. Stufe zwei verwendete dieses Bash-Skript, um eine zweite Testdatei in ein kompiliertes Shared Object zu dekodieren. Stufe drei verknüpfte das Shared Object mit der kompilierten liblzma-Binärdatei.
Das Shared Object nutzte eine legitime glibc-Funktion namens IFUNC – indirekte Funktionsauflöser – um eine spezifische OpenSSH-Funktion namens RSA_public_decrypt zu kapern.
RSA_public_decrypt ist die OpenSSH-Funktion, die RSA-Signaturen während der Zertifikatsauthentifizierung validiert. Jedes Mal, wenn ein Client versucht, sich mit einem RSA-Zertifikat zu verbinden, ruft sshd diese Funktion auf, um die Signatur zu überprüfen.
Wenn die Backdoor aktiv war, rief sshd stattdessen den Code des Angreifers auf.
Der Code des Angreifers untersuchte den öffentlichen RSA-Modulus – den großen Ganzzahlwert, der im Client-Zertifikat übergeben wird. Normalerweise wird dieser Wert bei der standardmäßigen RSA-Verifizierung verwendet. In der Backdoor war er tatsächlich ein Payload-Container. Der Code entschlüsselte die Payload mit einem fest kodierten symmetrischen ChaCha20-Schlüssel. Dann verifizierte er die Signatur der entschlüsselten Payload mit einem fest kodierten Ed448-Public Key.
Wenn die Signatur verifiziert wurde – was bedeutet, dass die Payload mit dem privaten Schlüssel des Angreifers signiert war – führte der Code die eingebetteten Shell-Befehle als Root aus.
Das nennen Sicherheitsforscher „gated remote code execution“. Die Backdoor wird nur aktiv, wenn der Angreifer eine gültige kryptografische Signatur präsentiert. Ein gewöhnlicher Angreifer, der zufällig auf die Backdoor stieß, konnte sie nicht ausnutzen. Nur der Inhaber des Ed448-Privatschlüssels konnte sie auslösen.
Dieses Detail ist wichtig. Ein krimineller Akteur, der eine Schwachstelle zum Verkauf entwickelt, macht sie für jeden Käufer nutzbar. Ein staatlicher Akteur, der eine persistente Zugriffsmöglichkeit entwickelt, macht sie exklusiv. Nur sie und jeder, den sie ausdrücklich autorisieren, können den Schlüssel verwenden.
Die xz-utils-Backdoor wurde für den exklusiven Gebrauch konzipiert. Es war keine Schwachstelle. Es war ein strategisches Gut.
Die Operation, die die Backdoor hervorbrachte, begann am sechsundzwanzigsten Januar 2021.
An diesem Datum wurde ein GitHub-Konto unter dem Benutzernamen JiaT75 erstellt. Der Anzeigename war Jia Tan. Das Konto hatte keinen früheren digitalen Fußabdruck. Keine Social-Media-Präsenz unter diesem Namen. Keine Konferenzvorträge. Keine früheren Open-Source-Beiträge. Keine Auftritte bei Datenlecks. Der Name scheint ein Pseudonym zu sein.
JiaT75's erster öffentlicher Beitrag zu xz-utils erfolgte am neunundzwanzigsten Oktober 2021 – neun Monate nach der Kontoerstellung. Es war ein kleiner Patch für eine Editor-Konfigurationsdatei. Harmlos. Unwichtig. Die Art von Beitrag, die Präsenz schafft, ohne Misstrauen zu erregen.
In den nächsten zwei Jahren und fünf Monaten verfasste JiaT75 mehr als fünfhundert Commits für Open-Source-Projekte. Die überwiegende Mehrheit waren legitime Verbesserungen – Code-Reviews, Übersetzungen, Wartung der kontinuierlichen Integration, Fehlerbehebungen. Nützliche Arbeit. Wirklich hilfreich.
Etwa acht dieser Commits waren bösartig.
Das Verhältnis ist wichtig. Sechzig zu eins. Für jeden bösartigen Commit erzeugte der Betreiber sechzig Stücke echter, nützlicher Arbeit. Das machte das Muster unmöglich durch statistische Anomalieanalyse zu erkennen. Der Angreifer verbrachte zweieinhalb Jahre engagierter Arbeit damit, wirklich wertvolle Beiträge zu leisten, rein um das Vertrauen aufzubauen, das für die Durchführung der acht Änderungen erforderlich war, die letztendlich zählten.
Die Operation arbeitete nicht allein.
Ab April 2022 erschien ein Benutzer namens Jigar Kumar auf der xz-devel-Mailingliste. Kumar hatte vor April 2022 keine Historie auf der Liste. Seine gesamte Präsenz bestand aus Druck-E-Mails an den Haupt-Maintainer des Projekts, in denen er sich über langsame Reaktionszeiten beschwerte und forderte, dass ein neuer Maintainer hinzugefügt werde.
Im Mai 2022 erschien ein zweites Konto – Dennis Ens –, das sich nach dem Wartungsstatus der Java-Version von xz-utils erkundigte und mit weiteren Drucknachrichten nachhakte.
Beide Konten hatten dasselbe Profil. Keine digitale Präsenz vor 2022. Keine Aktivität außerhalb der xz-devel-Mailingliste. Keine Beteiligung an anderen Projekten vor oder nach der Druckkampagne.
Im Februar 2024 – Wochen bevor die Backdoor committet wurde – erschien ein drittes Konto. Hans Jansen. Jansens Rolle bestand darin, Debian-Maintainer unter Druck zu setzen, die kompromittierte Version von xz-utils so schnell wie möglich zu übernehmen. Am fünfundzwanzigsten März 2024 reichte Hans Jansen einen Debian-Fehlerbericht ein, in dem er ausdrücklich das Upgrade forderte.
Vier Tage später veröffentlichte Andres Freund seine Erkenntnisse auf oss-security.
Zwei weitere unterstützende Konten – krygorin4545 und misoeater91 – übten in verschiedenen Threads Hintergrunddruck aus, dem gleichen Muster folgend. Keine Präsenz vor der Operation. Teilnahme nur während spezifischer Druckphasen. Verschwinden nach Erreichen der Ziele.
Kasperskys Post-Incident-Analyse stellte fest, dass die geografische Gestaltung der Sock-Puppet-Namen inkonsistent war – Singaporean, European, Indian –, was darauf hindeutet, dass der Betreiber die Deckidentitäten bewusst gestreut hatte, um den Anschein von Koordination zu vermeiden. Aber das Verhaltensmuster – der Zeitpunkt des Erscheinens, synchronisierte Druckpunkte, das kollektive Verschwinden nach jedem Ziel – deutete auf einen einzelnen Betreiber oder ein eng koordiniertes Team hin.
Der Druck wirkte.
Am neunundzwanzigsten Juni 2022 antwortete der Haupt-Maintainer von xz-utils – ein finnischer Softwareentwickler namens Lasse Collin – auf die Mailingliste und erklärte, dass Jia Tan in Zukunft eine größere Rolle im Projekt spielen würde und in der Praxis bereits als Co-Maintainer fungierte.
Das war die Übergabe.
Um zu verstehen, was gerade geschehen war, ist es notwendig zu verstehen, welche Position Lasse Collin innehatte.
Collin hatte xz-utils seit 2009 allein gewartet. Das Projekt war unbezahlt. Er arbeitete in seiner Freizeit daran. Zuvor im selben Monat, in einer Mailinglisten-Antwort vom Juni 2022, hatte Collin öffentlich eingeräumt, dass er mit langfristigen psychischen Problemen zu kämpfen hatte. Er bezeichnete das Projekt, mit seinen eigenen Worten, als ein unbezahltes Hobbyprojekt.
Lasse Collin ist nicht verantwortlich für das, was geschah. Die Sicherheitsgemeinschaft war sich in diesem Punkt einig. Collin leistete unbezahlte Hobbyarbeit. Er kämpfte mit dokumentierten gesundheitlichen Problemen. Er stand unter anhaltendem, koordiniertem Druck dessen, was sich als staatliche Geheimdienstoperation herausstellte. Das System, das ihn in diese Lage brachte, versagte ihn. Er versagte nicht das System.
Was die Operation ausnutzte, war nicht Collins Kompetenz. Es war seine strukturelle Position – allein, unbezahlt, mit realen Belastungen konfrontiert, verantwortlich für die Wartung von Infrastruktur, die von Milliarden von Menschen genutzt wird, ohne institutionelle Unterstützung.
Der professionelle Angreifer identifizierte diese Struktur und griff sie an.
Sobald die Übergabe abgeschlossen war, begann die Infrastrukturvorbereitung.
Im Oktober 2022 wurde Jia Tan der Tukaani-Organisation auf GitHub hinzugefügt. Im Dezember 2022 erstellte er die Organisationsstruktur des Repositories und machte seine erste Veröffentlichung. Im März 2023 änderte er die primäre Sicherheitskontakt-E-Mail bei Googles OSS-Fuzz – der automatisierten Schwachstellen-Scanning-Plattform – von Lasse Collins Adresse zu seiner eigenen. Von diesem Zeitpunkt an würde jeder sicherheitsrelevante Fehlerbericht Jia Tan erreichen, bevor er jemand anderen erreichte.
Im Juni 2023 führte Jia Tan die IFUNC-Resolver-Infrastruktur in liblzma ein. Die Commits schienen legitime Leistungsoptimierungsarbeiten zu sein. Rückblickend waren sie die Haken, durch die die Backdoor schließlich eingeschleust werden sollte.
Im Juli 2023 eröffnete Jia Tan einen Pull-Request bei OSS-Fuzz, um das IFUNC-Fuzzing für xz zu deaktivieren. Die Änderung sollte verhindern, dass die Fuzz-Testing-Pipeline Anomalien in der IFUNC-basierten Backdoor erkennt, sobald diese ausgeliefert würde.
Im Februar 2024 – ein separater Commit unterbrach die Build-System-Erkennung von Landlock – einer Linux-Kernel-Sicherheitsfunktion, die Prozessberechtigungen einschränkt. Der Commit deaktivierte die eigene Sandbox von xz auf Systemen, die sie sonst erzwungen hätten.
Am dreiundzwanzigsten Februar und neunten März 2024 wurde die Backdoor selbst in zwei Stufen committet, verpackt als Teil der xz-utils 5.6.0- und 5.6.1-Releases.
Neunzehn Tage später bemerkte Andres Freund eine SSH-Verzögerung von 500 Millisekunden.
Forscher, die die von der Operation hinterlassenen Commit-Metadaten analysierten, bemerkten ein Muster.
Jia Tans Commit-Zeitstempel konzentrierten sich hauptsächlich in den mitteleuropäischen oder osteuropäischen Zeitzonen. Die Arbeitszeiten entsprachen etwa neun Uhr morgens bis fünf Uhr nachmittags mitteleuropäischer Zeit. Die Aktivitäten wurden während wichtiger chinesischer Feiertage fortgesetzt und während mehrerer europäischer Feiertage unterbrochen.
Der Name und die behauptete operative Geografie waren ostasiatisch. Das tatsächliche Arbeitsmuster war europäisch.
Das nennen Geheimdienstanalysten „signature leakage“. Ein Betreiber verbrachte über dreißig Monate damit, eine Tarnidentität aufrechtzuerhalten. Doch die automatischen Zeitstempel, die in jedem git-Commit eingebettet sind, enthüllten periodisch den tatsächlichen Standort der Maschine, die den Commit durchführte.
Drei mögliche Zuschreibungen sind in öffentlichen Analysen von Sicherheitsforschern mit relevanter Expertise aufgetaucht.
Der amerikanische Sicherheitsforscher Dave Aitel, ein ehemaliger NSA-Computerwissenschaftler, bewertete öffentlich, dass die Operation dem Muster entspricht, das APT29 zugeschrieben wird – der Advanced Persistent Threat Group, die von den Regierungen der Vereinigten Staaten und des Vereinigten Königreichs dem russischen Auslandsgeheimdienst zugeschrieben wird. APT29 ist bekannt für langfristige Spionagekampagnen, einschließlich der 2020 aufgedeckten SolarWinds-Supply-Chain-Kompromittierung. Die Arbeitszeiten, die mit der Moskauer Zeitzone übereinstimmen, passen zu Jia Tans Muster.
Costin Raiu – der ehemalige Direktor von Kasperskys Global Research and Analysis Team, mit drei Jahrzehnten Erfahrung in der Zuschreibung ausgeklügelter Operationen – identifizierte in einem Podcast-Interview vom Februar 2026 drei plausible Kandidaten. Russlands APT29 war der eine. Chinas APT41, verbunden mit dem Ministry of State Security, war ein zweiter. Nordkoreas Lazarus Group, bereits in früheren Fragment Zero-Berichten erwähnt, war ein dritter.
Stand April 2026 hat kein Geheimdienst die Operation öffentlich zugeschrieben. Es wurden keine Anklagen erhoben. Es wurden keine Verhaftungen vorgenommen. Die wahre Identität von Jia Tan bleibt unbekannt.
Was unter Forschern mit relevanter Geheimdienstexpertise unbestritten ist, ist, dass die Geduld der Operation, die operative Sicherheit, die kryptografische Raffinesse und der Ressourceneinsatz mit einem staatlichen Geheimdienst – oder einem eng funktionell Äquivalent – übereinstimmen und nicht mit individueller krimineller oder hacktivistischer Aktivität.
Das war nicht die Arbeit eines einzelnen Hackers.
Die xz-utils-Operation war aufgrund eines strukturellen Merkmals möglich, wie die moderne Technologiewelt ihre kritische Infrastruktur aufbaut.
Die Software, die das Internet betreibt, wurde zu einem erheblichen Teil von Freiwilligen in ihrer Freizeit entwickelt. Die Unternehmen, die von dieser Software profitieren, haben nur einen kleinen Bruchteil ihres wirtschaftlichen Wertes zurückgegeben.
xz-utils wurde mit jeder großen Linux-Distribution gebündelt und lief auf einem enormen Anteil globaler Server. Sein Maintainer war unbezahlt. OpenSSL, die Bibliothek, die den größten Teil des Internets mit Kryptographie versorgt, war vor der Heartbleed-Schwachstelle im Jahr 2014 notorisch unterbesetzt. Log4j, die Java-Logging-Bibliothek hinter der Log4Shell-Schwachstelle im Jahr 2021, wurde von einer Handvoll Freiwilliger gewartet – hinter der globalen Unternehmensinfrastruktur.
In jedem Fall wurde eine Bibliothek, die von Milliarden-Dollar-Unternehmen als kritische Infrastruktur behandelt wurde, mit den Ressourcen eines Hobbyprojekts gepflegt.
Die xz-utils-Operation hat diese strukturelle Schwachstelle nicht erfunden. Sie hat sie ausgenutzt.
Am elften April 2024 – zwei Wochen nach Freunds Offenlegung – veröffentlichte die U.S. Cybersecurity and Infrastructure Security Agency eine formelle Erklärung, die das strukturelle Problem anerkannte. CISAs Position: Die Last der Sicherung der Open-Source-Infrastruktur kann nicht auf einzelnen unbezahlten Maintainern lasten, und Unternehmen, die Open-Source-Software nutzen, müssen entweder finanziell oder durch Entwicklerzeit dazu beitragen, ein nachhaltiges Ökosystem zu schaffen.
Die Empfehlungen waren unverbindlich. Sie waren Best Practices. Sie basierten auf freiwilliger Annahme durch Unternehmen, deren Anreizstrukturen diese Investition historisch nicht belohnt hatten.
Innerhalb eines Monats veröffentlichten die Linux Foundation und die Open Source Security Foundation eine gemeinsame Warnung, dass ähnliche Social-Engineering-Übernahmeversuche bereits gegen mehrere andere Open-Source-Projekte im Gange seien. Die OpenJS Foundation – die Node.js, jQuery und verwandte JavaScript-Infrastruktur pflegt – gab öffentlich bekannt, dass sie eine koordinierte Druckkampagne nach dem gleichen Muster wie xz-utils erhalten hatte und diese nur abgewehrt hatte, weil die xz-utils-Offenlegung der Community gezeigt hatte, worauf sie achten sollte.
Ein Linux Foundation-Bericht von 2026 dokumentierte das breitere Muster im gesamten Ökosystem. Die Kernfeststellung des Berichts: Was mit xz-utils geschah, war kein Einzelfall. Es war eine Methode. Die Methode wird im großen Maßstab versucht. Die meisten erfolgreichen Entdeckungen geschehen, weil der xz-utils-Fall eine Signatur zum Abgleich lieferte.
Wie viele erfolglose Entdeckungen es gibt – Operationen, die bereits im Gange sind und noch nicht aufgedeckt wurden –, ist aus öffentlichen Quellen konstruktionsbedingt unmöglich zu zählen.
Vor zwei Episoden auf Fragment Zero schloss die Akte zur Dark Forest-Hypothese mit einer Beobachtung. Die von Liu Cixin 2008 formalisierte Doktrin – Schweigen als Überleben, Verbergen als strategische Notwendigkeit, Offenbarung als existenzielle Gefahr – ist das älteste operative Sicherheitsprinzip in der Geschichte menschlicher Konflikte.
Jede Kraft, die jemals unter Bedingungen unsicherer Bedrohungen und asymmetrischer Fähigkeiten operierte, ist zu derselben Schlussfolgerung gelangt.
Sei leise. Bewege dich vorsichtig. Gehe von Beobachtung aus.
Die xz-utils-Operation ist der Dark Forest, der innerhalb einer menschlichen Vertrauensbeziehung ausgeführt wird.
Der Angreifer durchbrach keine Firewall. Der Angreifer nutzte keine Zero-Day-Schwachstelle aus. Der Angreifer umging keinen kryptografischen Schutz. Der Angreifer tat etwas viel Einfacheres. Der Angreifer versteckte sich drei Jahre lang offen, leistete nützliche Arbeit, baute echte Glaubwürdigkeit auf, verhielt sich genau wie jeder andere hilfsbereite Mitwirkende, während er – schweigend, geduldig, mit einer strategischen Geduld, die für die meisten technischen Organisationen unvorstellbar ist – den Moment vorbereitete, in dem die vorbereitete Infrastruktur genutzt werden würde.
Der Angriff war fast vollständig erfolgreich, weil er lautlos war. Er wurde nicht durch ein Sicherheitstool, nicht durch eine Prüfung, nicht durch eine institutionelle Verteidigung entdeckt, sondern durch die zufällige Beobachtung eines Ingenieurs von fünfhundert Millisekunden unerklärlicher Latenz.
Andres Freunds Aussage über seine eigene Entdeckung, Wochen nach der Offenlegung auf Mastodon gepostet, sollte die Akte schließen.
Sich in Zukunft auf Glück zu verlassen, ist eine schlechte Strategie.
Die xz-utils-Backdoor wurde entdeckt.
Die Dark Forest-Version der Operation – diejenige, die Vertrauensbeziehungen anstelle von Computersystemen ins Visier nimmt – wird gerade in diesem Moment gegen eine unbestimmte Anzahl anderer kritischer Open-Source-Projekte versucht. Das Muster funktioniert. Die wirtschaftlichen Anreize, die es funktionieren lassen, haben sich nicht wesentlich geändert. Die institutionellen Reaktionen waren real, aber unzureichend.
Der Ingenieur, der den nächsten findet, wird auch Glück brauchen. Er muss zum richtigen Zeitpunkt auf dem richtigen System den richtigen Benchmark betrachten. Er muss sich genug darum kümmern, eine Anomalie bis zu ihrer Quelle zurückzuverfolgen. Er muss seine Ergebnisse veröffentlichen, bevor der Auftraggeber der Operation die Payload bereits an stabile Releases ausgeliefert hat.
Sie werden, speziell, die fünfhundert Millisekunden brauchen.
Dieses Intervall stand im März 2024 zwischen dem Internet und einem einzigen kryptografischen Schlüssel, der von einem unbekannten Akteur gehalten wurde und der jeden SSH-fähigen Linux-Server auf der Erde entsperrt hätte.
Fragment Zero wird die Akte verfolgen.
Die Akte schließt nicht. Sie wartet.
