इंटरनेट का पहला हाईजैक: एक स्वयंसेवक ने लगभग लिनक्स को ठप कर दिया था।

पांच सौ मिलीसेकंड।

आधा सेकंड।

वह अंतर जिससे इंटरनेट को हाईजैक नहीं किया गया।

मार्च, 2024। San Francisco।

Andres Freund नाम का एक अड़तीस वर्षीय Microsoft इंजीनियर एक Debian डेवलपमेंट सिस्टम पर PostgreSQL का बेंचमार्किंग कर रहा है। यह एक नियमित कार्य है। Freund PostgreSQL प्रोजेक्ट पर एक कमिटर है। वह अपने काम के नियमित हिस्से के रूप में प्री-रिलीज़ Linux डिस्ट्रीब्यूशन के खिलाफ डेटाबेस परफॉर्मेंस का परीक्षण करता है।

परीक्षण वातावरण में कुछ गड़बड़ है।

विफल SSH लॉगिन प्रयास — उस तरह के जो हर सार्वजनिक-सामना वाले सर्वर पर लगातार आते हैं, स्वचालित बॉट यादृच्छिक उपयोगकर्ता नाम और पासवर्ड संयोजन आज़माते हैं — जितना उन्हें करना चाहिए उससे कहीं अधिक CPU का उपयोग कर रहे हैं। एक विफल लॉगिन को जल्दी समाप्त हो जाना चाहिए। ये जल्दी समाप्त नहीं हो रहे हैं।

Freund ध्यान देता है।

वह आगे जांच करता है। उसकी अपनी स्थानीय मशीन पर, सफल SSH लॉगिन लगभग एक सौ मिलीसेकंड की बेसलाइन से पांच सौ मिलीसेकंड अधिक समय ले रहे हैं।

आधा सेकंड।

Freund Valgrind, एक मेमोरी-डीबगिंग टूल, के तहत कनेक्शन चलाता है। Valgrind liblzma — एक कंप्रेशन लाइब्रेरी जिस पर SSH डीमन को कॉल करने का कोई वैध कारण नहीं है — की ओर इशारा करते हुए त्रुटियां फेंकता है।

यह तब है जब जांच तत्काल हो जाती है।

अगले कई दिनों में, Freund त्रुटियों का पता लगाता है। उसे पता चलता है कि उसकी टेस्ट मशीन पर sshd प्रोसेस प्रमाणीकरण के दौरान liblzma से कोड निष्पादित कर रहा है। वह git रिपॉजिटरी में xz-utils सोर्स का विश्लेषण करता है। सोर्स साफ है। लेकिन रिलीज़ टारबॉल — संपीड़ित सोर्स आर्काइव जिसे Debian वास्तव में डाउनलोड करता है और बनाता है — में build-to-host.m4 नामक एक फ़ाइल है जो git सोर्स में नहीं है।

उस फ़ाइल में एक अस्पष्ट स्क्रिप्ट है। स्क्रिप्ट bad-3-corrupt_lzma2.xz नामक एक टेस्ट फ़ाइल के अंदर छिपी हुई एक bash स्क्रिप्ट को डीकोड करती है — एक फ़ाइल जिसे कंप्रेशन लाइब्रेरी की त्रुटि हैंडलिंग के लिए एक टूटे हुए टेस्ट इनपुट के रूप में प्रच्छन्न किया गया है। bash स्क्रिप्ट कस्टम ऑबफस्केशन को RC4 डिक्रिप्शन के साथ मिलाकर good-large_compressed.lzma नामक दूसरी फ़ाइल को डीकोड करती है।

चेन के अंत में जो निकलता है वह एक संकलित साझा ऑब्जेक्ट है।

साझा ऑब्जेक्ट एक बैकडोर है।

29 मार्च, 2024 की शाम को — जबकि, उसके अपने खाते के अनुसार, खाना बनाने के ब्रेक के दौरान एक सुरक्षा पॉडकास्ट सुनते हुए — Andres Freund Openwall की oss-security मेलिंग सूची पर अपनी खोजों को पोस्ट करता है।

24 घंटों के भीतर, Red Hat ने इसे एक CVE नंबर असाइन किया है। गंभीरता स्कोर दस दशमलव शून्य है। उच्चतम संभव। CISA एक आपातकालीन सलाह जारी करता है। Debian, SUSE, Fedora, Arch, और Kali सभी प्रभावित पैकेजों को वापस ले लेते हैं। GitHub बैकडोर को कमिट करने वाले मेंटेनर का खाता निलंबित कर देता है।

बैकडोर, जैसा कि पता चला, लगभग दो सप्ताह के भीतर स्थिर Linux डिस्ट्रीब्यूशन के साथ शिप करने के लिए निर्धारित था।

Freund ने इसे संयोग से पकड़ा।

यह इस बात पर केस फाइल है कि क्या हुआ। क्या लगभग हुआ। और ऑपरेशन क्या था।

हमले का लक्ष्य xz-utils था।

xz-utils एक कंप्रेशन टूलकिट है। इसका मुख्य टूल, xz कमांड, .xz फ़ाइलें बनाता है — .zip फ़ाइलों के Unix समकक्ष, उच्च कंप्रेशन अनुपात के साथ। कमांड-लाइन टूल के नीचे liblzma नामक एक लाइब्रेरी है, जो इसे आवश्यक अन्य प्रोग्रामों को कंप्रेशन एल्गोरिथम प्रदान करती है।

liblzma को प्रत्यक्ष या अप्रत्यक्ष रूप से भारी मात्रा में Linux सिस्टम सॉफ्टवेयर द्वारा लोड किया जाता है। पैकेज मैनेजर इसके साथ लिंक करते हैं। सिस्टम यूटिलिटीज इसके साथ लिंक करती हैं। और — हमलावरों द्वारा विशेष रूप से इंजीनियर की गई एक चेन के माध्यम से — OpenSSH डीमन इसके साथ लिंक करता है।

यह चेन इस तरह चलती है। अधिकांश प्रमुख Linux डिस्ट्रीब्यूशन पर, sshd को systemd की सेवा अधिसूचना तंत्र, जिसे sd_notify कहा जाता है, का समर्थन करने के लिए पैच किया जाता है। वह पैच sshd को libsystemd नामक एक लाइब्रेरी लोड करने का कारण बनता है। और libsystemd, बदले में, liblzma को लोड करता है।

परिणाम: अधिकांश प्रोडक्शन Linux सर्वरों पर, SSH डीमन — वह प्रक्रिया जो रिमोट लॉगिन स्वीकार करती है — स्टार्टअप पर एक कंप्रेशन लाइब्रेरी लोड करती है, भले ही SSH प्रमाणीकरण ट्रैफिक को कंप्रेस नहीं करता है।

कंप्रेशन लाइब्रेरी से समझौता करें, और आप उस डीमन से समझौता करते हैं जो इंटरनेट पर हर Linux सर्वर तक रिमोट पहुंच को नियंत्रित करता है।

बैकडोर के लगभग परिनियोजन के समय, दुनिया के शीर्ष दस लाख वेब सर्वरों में से लगभग छियानवे प्रतिशत पर Linux चल रहा था। दुनिया के सभी पांच सौ सबसे शक्तिशाली सुपर कंप्यूटरों पर। Amazon Web Services, Google Cloud, और Microsoft Azure में लगभग बानवे प्रतिशत वर्चुअल मशीनों पर। Android, जो दुनिया के लगभग पचासी प्रतिशत स्मार्टफोन को शक्ति देता है, Linux कर्नेल पर बना है।

xz-utils बैकडोर, यदि इसे स्थिर डिस्ट्रीब्यूशन में भेजा गया होता, तो उपरोक्त सभी के एक बड़े हिस्से में मौजूद होता।

Alex Stamos, Facebook के पूर्व मुख्य सुरक्षा अधिकारी, ने इच्छित परिणाम को एक वाक्यांश में वर्णित किया: पृथ्वी पर किसी भी SSH सर्वर की मास्टर कुंजी।

यही कारण है कि CVE को दस दशमलव शून्य स्कोर किया गया था।

बैकडोर का तकनीकी डिज़ाइन ठीक से समझने लायक है।

हमलावर ने इस तथ्य का फायदा उठाया कि रिलीज़ टारबॉल में स्वतः-जनित फ़ाइलें होती हैं जो संस्करण-नियंत्रित git सोर्स में मौजूद नहीं होती हैं। विशेष रूप से, टारबॉल में build-to-host.m4 फ़ाइल में एक ही पंक्ति थी जिसे बिल्ड प्रक्रिया के कॉन्फ़िगर चरण में एक अस्पष्ट स्क्रिप्ट डालने के लिए संशोधित किया गया था।

इसका मतलब था कि git सोर्स कोड पढ़ने वाला कोई भी व्यक्ति बैकडोर को नहीं देख सकता था। git से बनाने वाला कोई भी इसे ट्रिगर नहीं कर सकता था। केवल Linux डिस्ट्रीब्यूशन, जो रिलीज़ किए गए टारबॉल से बनाते हैं — जो प्रभावी रूप से वे सभी हैं — इंजेक्शन को निष्पादित करेंगे।

इंजेक्शन चेन तीन चरणों की थी। पहला चरण एक दूषित कंप्रेशन टेस्ट इनपुट के रूप में प्रच्छन्न एक bash स्क्रिप्ट निकाली। दूसरा चरण उस bash स्क्रिप्ट का उपयोग करके एक दूसरी टेस्ट फ़ाइल को एक संकलित साझा ऑब्जेक्ट में डीकोड किया। तीसरा चरण साझा ऑब्जेक्ट को संकलित liblzma बाइनरी में लिंक किया।

साझा ऑब्जेक्ट ने IFUNC — अप्रत्यक्ष फ़ंक्शन रिजॉल्वर — नामक एक वैध glibc सुविधा का उपयोग RSA_public_decrypt नामक एक विशिष्ट OpenSSH फ़ंक्शन को हाईजैक करने के लिए किया।

RSA_public_decrypt OpenSSH फ़ंक्शन है जो प्रमाणपत्र प्रमाणीकरण के दौरान RSA हस्ताक्षर को मान्य करता है। हर बार जब कोई क्लाइंट RSA प्रमाणपत्र का उपयोग करके कनेक्ट करने का प्रयास करता है, तो sshd हस्ताक्षर को सत्यापित करने के लिए इस फ़ंक्शन को कॉल करता है।

बैकडोर सक्रिय होने पर, sshd हमलावर के कोड को कॉल कर रहा था।

हमलावर के कोड ने RSA सार्वजनिक मॉड्यूलर की जांच की — क्लाइंट के प्रमाणपत्र में पास किया गया बड़ा पूर्णांक मान। सामान्य तौर पर, इस मान का उपयोग मानक RSA सत्यापन में किया जाता है। बैकडोर में, यह वास्तव में एक पेलोड कंटेनर था। कोड ने एक हार्डकोडेड ChaCha20 सममित कुंजी का उपयोग करके पेलोड को डिक्रिप्ट किया। फिर इसने एक हार्डकोडेड Ed448 सार्वजनिक कुंजी का उपयोग करके डिक्रिप्टेड पेलोड के हस्ताक्षर को सत्यापित किया।

यदि हस्ताक्षर सत्यापित हो गया — जिसका अर्थ है कि पेलोड हमलावर की निजी कुंजी द्वारा हस्ताक्षरित था — तो कोड ने एम्बेडेड शेल कमांड को root के रूप में निष्पादित किया।

इसे सुरक्षा शोधकर्ता गेटेड रिमोट कोड निष्पादन कहते हैं। बैकडोर तभी सक्रिय होता है जब हमलावर एक वैध क्रिप्टोग्राफिक हस्ताक्षर प्रस्तुत करता है। एक सामान्य हमलावर जिसे बैकडोर मिल जाता, वह उसका फायदा नहीं उठा सकता था। केवल Ed448 निजी कुंजी का धारक ही इसे ट्रिगर कर सकता था।

यह विवरण महत्वपूर्ण है। बिक्री के लिए एक भेद्यता बनाने वाला एक अपराधी अभिनेता इसे खरीदने वाले किसी भी व्यक्ति द्वारा प्रयोग करने योग्य बनाता है। एक स्थायी पहुंच क्षमता बनाने वाला एक राज्य अभिनेता इसे विशिष्ट बनाता है। केवल वे, और कोई भी जिसे वे स्पष्ट रूप से अधिकृत करते हैं, कुंजी का उपयोग कर सकते हैं।

xz-utils बैकडोर को विशिष्ट उपयोग के लिए डिज़ाइन किया गया था। यह कोई भेद्यता नहीं थी। यह एक रणनीतिक संपत्ति थी।

बैकडोर उत्पन्न करने वाला ऑपरेशन 26 जनवरी, 2021 को शुरू हुआ।

उस तारीख को, JiaT75 उपयोगकर्ता नाम के तहत एक GitHub खाता बनाया गया था। प्रदर्शित नाम Jia Tan था। खाते का कोई पूर्व डिजिटल पदचिह्न नहीं था। उस नाम से कोई सोशल मीडिया उपस्थिति नहीं थी। कोई कॉन्फ्रेंस वार्ता नहीं थी। कोई पिछली ओपन-सोर्स योगदान नहीं था। डेटा उल्लंघनों में कोई उपस्थिति नहीं थी। नाम एक छद्म नाम प्रतीत होता है।

JiaT75 का xz-utils में पहला सार्वजनिक योगदान 29 अक्टूबर, 2021 को हुआ — खाता बनने के नौ महीने बाद। यह एक संपादक कॉन्फ़िगरेशन फ़ाइल के लिए एक मामूली पैच था। हानिरहित। महत्वहीन। उस तरह का योगदान जो जांच को आकर्षित किए बिना उपस्थिति स्थापित करता है।

अगले दो साल और पांच महीनों में, JiaT75 ने ओपन-सोर्स प्रोजेक्ट्स में पांच सौ से अधिक कमिट किए। अधिकांश वैध सुधार थे — कोड समीक्षाएं, अनुवाद, सतत एकीकरण रखरखाव, बग फिक्स। उपयोगी काम। वास्तव में मददगार।

उन कमिट्स में से लगभग आठ दुर्भावनापूर्ण थे।

अनुपात मायने रखता है। साठ के मुकाबले एक। हर दुर्भावनापूर्ण कमिट के लिए, ऑपरेटर ने साठ वास्तविक, उपयोगी काम किए। यही वह बात थी जिसने सांख्यिकीय विसंगति विश्लेषण के माध्यम से इस पैटर्न का पता लगाना असंभव बना दिया। हमलावर ने ढाई साल का समर्पित प्रयास वास्तव में मूल्यवान योगदान देने में बिताया, केवल उन आठ परिवर्तनों को करने के लिए आवश्यक विश्वास जमा करने के लिए जो अंततः महत्वपूर्ण थे।

ऑपरेशन ने अकेले काम नहीं किया।

अप्रैल 2022 में शुरू होकर, Jigar Kumar नाम का एक उपयोगकर्ता xz-devel मेलिंग सूची पर दिखाई दिया। कुमार का अप्रैल 2022 से पहले सूची में कोई इतिहास नहीं था। उसकी पूरी उपस्थिति प्रोजेक्ट के मुख्य मेंटेनर को दबाव वाले ईमेल भेजने में शामिल थी, जिसमें धीमी प्रतिक्रिया समय की शिकायत की गई थी और एक नया मेंटेनर जोड़ने की मांग की गई थी।

मई 2022 में, एक दूसरा खाता — Dennis Ens — दिखाई दिया, जो xz-utils के Java संस्करण की रखरखाव स्थिति के बारे में पूछताछ कर रहा था, और अतिरिक्त दबाव संदेशों के साथ फॉलो-अप कर रहा था।

दोनों खातों का प्रोफाइल समान था। 2022 से पहले कोई डिजिटल उपस्थिति नहीं। xz-devel मेलिंग सूची के बाहर कोई गतिविधि नहीं। दबाव अभियान से पहले या बाद में किसी अन्य प्रोजेक्ट में कोई भागीदारी नहीं।

फरवरी 2024 में — बैकडोर के कमिट होने से हफ्तों पहले — एक तीसरा खाता दिखाई दिया। Hans Jansen। Jansen की भूमिका Debian मेंटेनरों पर जल्द से जल्द xz-utils के समझौता किए गए संस्करण को अपनाने के लिए दबाव डालना था। 25 मार्च, 2024 को, Hans Jansen ने एक Debian बग रिपोर्ट दर्ज की जिसमें स्पष्ट रूप से अपग्रेड का अनुरोध किया गया था।

चार दिन बाद, Andres Freund ने अपनी खोजों को oss-security पर पोस्ट किया।

दो अतिरिक्त सहायक खाते — krygorin4545 और misoeater91 — ने विभिन्न थ्रेड्स में पृष्ठभूमि दबाव प्रदान किया, उसी पैटर्न का पालन करते हुए। ऑपरेशन से पहले कोई उपस्थिति नहीं। केवल विशिष्ट दबाव खिड़कियों के दौरान भागीदारी। उद्देश्य प्राप्त होने के बाद गायब होना।

Kaspersky के घटना के बाद के विश्लेषण में पाया गया कि सॉक-पपेट नामों की भौगोलिक शैली असंगत थी — Singaporean, European, Indian — यह सुझाव देते हुए कि ऑपरेटर ने जानबूझकर कवर पहचानों को फैलाया था ताकि समन्वय की उपस्थिति से बचा जा सके। लेकिन व्यवहारिक पैटर्न — दिखावे का समय, सिंक्रनाइज़्ड दबाव बिंदु, प्रत्येक उद्देश्य के बाद सामूहिक गायब होना — ने एक एकल ऑपरेटर या कसकर समन्वित टीम का सुझाव दिया।

दबाव काम कर गया।

29 जून, 2022 को, xz-utils के मुख्य मेंटेनर — Lasse Collin नाम के एक फिनिश सॉफ्टवेयर डेवलपर — ने मेलिंग सूची का जवाब दिया और कहा कि Jia Tan की परियोजना में आगे एक बड़ी भूमिका होगी, और, व्यवहार में, वह पहले से ही एक सह-मेंटेनर के रूप में काम कर रहा था।

यह हैंडओवर था।

यह समझने के लिए कि क्या हुआ था, यह समझना आवश्यक है कि Lasse Collin की स्थिति क्या थी।

Collin ने 2009 से xz-utils को अकेले बनाए रखा था। परियोजना अवैतनिक थी। वह अपने खाली समय में इस पर काम करता था। उसी महीने की शुरुआत में, जून 2022 की मेलिंग सूची के जवाब में, Collin ने सार्वजनिक रूप से स्वीकार किया था कि वह दीर्घकालिक मानसिक स्वास्थ्य समस्याओं से निपट रहा था। उसने अपने शब्दों में, परियोजना को एक अवैतनिक शौक परियोजना के रूप में संदर्भित किया।

Lasse Collin जो हुआ उसके लिए जिम्मेदार नहीं है। सुरक्षा समुदाय इस बिंदु पर सर्वसम्मति से है। Collin अवैतनिक शौक का काम कर रहा था। वह प्रलेखित स्वास्थ्य चुनौतियों से निपट रहा था। वह एक राज्य-स्तरीय खुफिया ऑपरेशन के रूप में सामने आए निरंतर, समन्वित दबाव में था। जिस सिस्टम ने उसे उस स्थिति में रखा, वह उसे विफल कर गया। उसने सिस्टम को विफल नहीं किया।

ऑपरेशन ने Collin की क्षमता का फायदा नहीं उठाया। यह उसकी संरचनात्मक स्थिति थी — अकेला, अवैतनिक, वास्तविक दुनिया के तनावों से निपट रहा था, अरबों लोगों द्वारा उपयोग किए जाने वाले बुनियादी ढांचे को बनाए रखने के लिए जिम्मेदार था, संस्थागत समर्थन के बिना।

पेशेवर हमलावर ने उस संरचना की पहचान की और उसे लक्षित किया।

एक बार हैंडओवर पूरा हो जाने के बाद, बुनियादी ढांचे की तैयारी शुरू हो गई।

अक्टूबर 2022 में, Jia Tan को GitHub पर Tukaani संगठन में जोड़ा गया। दिसंबर 2022 में, उसने रिपॉजिटरी की संगठनात्मक संरचना बनाई और अपनी पहली रिलीज़ की। मार्च 2023 में, उसने Google के OSS-Fuzz — स्वचालित भेद्यता-स्कैनिंग प्लेटफॉर्म — पर प्राथमिक सुरक्षा संपर्क ईमेल को Lasse Collin के पते से बदलकर अपना कर दिया। उस बिंदु से आगे, कोई भी सुरक्षा-प्रासंगिक बग रिपोर्ट किसी और तक पहुंचने से पहले Jia Tan तक पहुंच जाएगी।

जून 2023 में, Jia Tan ने liblzma में IFUNC रिजॉल्वर इन्फ्रास्ट्रक्चर पेश किया। कमिट वैध प्रदर्शन अनुकूलन कार्य प्रतीत हुए। पीछे मुड़कर देखें, तो वे हुक थे जिनके माध्यम से बैकडोर अंततः इंजेक्ट किया जाएगा।

जुलाई 2023 में, Jia Tan ने OSS-Fuzz पर xz के लिए IFUNC फ़ज़िंग को अक्षम करने के लिए एक पुल रिक्वेस्ट खोला। इस बदलाव का उद्देश्य फ़ज़-टेस्टिंग पाइपलाइन को IFUNC-आधारित बैकडोर में विसंगतियों का पता लगाने से रोकना था जब इसे अंततः शिप किया गया।

फरवरी 2024 में, एक अलग कमिट ने Landlock के बिल्ड-सिस्टम डिटेक्शन को तोड़ दिया — एक Linux कर्नेल सुरक्षा सुविधा जो प्रक्रिया विशेषाधिकारों को प्रतिबंधित करती है। कमिट ने उन प्रणालियों पर xz के स्वयं के सैंडबॉक्स को अक्षम कर दिया जो अन्यथा इसे लागू करतीं।

23 फरवरी और 9 मार्च, 2024 को, बैकडोर को दो चरणों में कमिट किया गया, जिसे xz-utils 5.6.0 और 5.6.1 रिलीज़ के हिस्से के रूप में पैक किया गया।

उन्नीस दिन बाद, Andres Freund ने 500-मिलीसेकंड की SSH देरी देखी।

ऑपरेशन द्वारा छोड़े गए कमिट मेटाडेटा का विश्लेषण करने वाले शोधकर्ताओं ने एक पैटर्न देखा।

Jia Tan के कमिट टाइमस्टैंप मुख्य रूप से Central European या Eastern European समय क्षेत्रों में केंद्रित थे। काम के घंटे लगभग सुबह नौ बजे से दोपहर पांच बजे तक Central European Time के अनुरूप थे। गतिविधि प्रमुख Chinese सार्वजनिक छुट्टियों के दौरान जारी रही और कई European छुट्टियों के दौरान रुकी रही।

नाम, और दावा किया गया परिचालन भूगोल, East Asian था। वास्तविक काम का पैटर्न European था।

इसे खुफिया ट्रेडक्राफ्ट विश्लेषक सिग्नेचर लीकेज कहते हैं। एक ऑपरेटर ने तीस महीने से अधिक समय तक एक कवर पहचान बनाए रखी। लेकिन हर git कमिट में एम्बेडेड स्वचालित टाइमस्टैंप ने समय-समय पर उस मशीन का वास्तविक स्थान प्रकट किया जो कमिट कर रही थी।

प्रासंगिक विशेषज्ञता वाले सुरक्षा शोधकर्ताओं के सार्वजनिक विश्लेषण में तीन संभावित आरोपण सामने आए हैं।

American सुरक्षा शोधकर्ता Dave Aitel, एक पूर्व NSA कंप्यूटर वैज्ञानिक, ने सार्वजनिक रूप से आकलन किया कि यह ऑपरेशन APT29 के लिए जिम्मेदार पैटर्न में फिट बैठता है — उन्नत निरंतर खतरा समूह जिसे United States और United Kingdom सरकारों द्वारा Russia की Foreign Intelligence Service के लिए जिम्मेदार ठहराया गया है। APT29 लंबी अवधि के जासूसी अभियानों के लिए जाना जाता है, जिसमें 2020 में सामने आया SolarWinds सप्लाई चेन समझौता भी शामिल है। Moscow समय क्षेत्र के अनुरूप काम के घंटे Jia Tan के पैटर्न से मेल खाते हैं।

Costin Raiu — Kaspersky की Global Research and Analysis Team के पूर्व निदेशक, जिन्हें परिष्कृत ऑपरेशनों को जिम्मेदार ठहराने का तीन दशकों का अनुभव है — ने फरवरी 2026 के एक पॉडकास्ट साक्षात्कार में तीन संभावित उम्मीदवारों की पहचान की। Russia का APT29 एक था। China का APT41, जो Ministry of State Security से जुड़ा है, दूसरा था। North Korea का Lazarus Group, जिसे पहले Fragment Zero कवरेज में दिखाया गया था, तीसरा था।

अप्रैल 2026 तक, किसी भी खुफिया सेवा ने सार्वजनिक रूप से इस ऑपरेशन को जिम्मेदार नहीं ठहराया है। कोई अभियोग दायर नहीं किया गया है। कोई गिरफ्तारी नहीं हुई है। Jia Tan की वास्तविक पहचान अज्ञात बनी हुई है।

प्रासंगिक ट्रेडक्राफ्ट विशेषज्ञता वाले शोधकर्ताओं के बीच इस बात पर कोई विवाद नहीं है कि ऑपरेशन का धैर्य, परिचालन सुरक्षा, क्रिप्टोग्राफिक परिष्कार और संसाधन प्रतिबद्धता एक राष्ट्र-राज्य खुफिया सेवा — या इसके करीब के कार्यात्मक समकक्ष — के अनुरूप हैं और व्यक्तिगत आपराधिक या हैक्टिविस्ट गतिविधि के अनुरूप नहीं हैं।

यह किसी अकेले हैकर का काम नहीं था।

xz-utils ऑपरेशन आधुनिक तकनीकी सभ्यता अपने महत्वपूर्ण बुनियादी ढांचे का निर्माण कैसे करती है, इसकी एक संरचनात्मक विशेषता के कारण संभव हुआ।

इंटरनेट चलाने वाला सॉफ्टवेयर, काफी हद तक, अपने खाली समय में काम करने वाले स्वयंसेवकों द्वारा बनाया गया था। इस सॉफ्टवेयर से लाभ कमाने वाली कंपनियों ने इसके आर्थिक मूल्य का एक छोटा सा हिस्सा वापस योगदान दिया है।

xz-utils हर प्रमुख Linux डिस्ट्रीब्यूशन के साथ बंडल किया गया था और वैश्विक सर्वरों के एक बड़े हिस्से पर चलता था। इसका मेंटेनर अवैतनिक था। OpenSSL, वह लाइब्रेरी जो इंटरनेट के अधिकांश हिस्से को क्रिप्टोग्राफी प्रदान करती है, 2014 में Heartbleed भेद्यता से पहले कुख्यात रूप से कम कर्मचारियों वाली थी। Log4j, 2021 में Log4Shell भेद्यता के पीछे Java लॉगिंग लाइब्रेरी, दुनिया भर में उद्यम बुनियादी ढांचे के पीछे — मुट्ठी भर स्वयंसेवकों द्वारा बनाए रखी गई थी।

हर मामले में, बहु-अरब डॉलर की कंपनियों द्वारा महत्वपूर्ण बुनियादी ढांचे के रूप में मानी जाने वाली एक लाइब्रेरी को हॉबी-प्रोजेक्ट संसाधनों के साथ बनाए रखा गया था।

xz-utils ऑपरेशन ने इस संरचनात्मक भेद्यता का आविष्कार नहीं किया। इसने इसका फायदा उठाया।

11 अप्रैल, 2024 को — Freund के प्रकटीकरण के दो सप्ताह बाद — U.S. Cybersecurity and Infrastructure Security Agency ने संरचनात्मक समस्या को स्वीकार करते हुए एक औपचारिक बयान प्रकाशित किया। CISA की स्थिति: ओपन-सोर्स बुनियादी ढांचे को सुरक्षित करने का बोझ व्यक्तिगत अवैतनिक मेंटेनरों पर नहीं पड़ सकता है, और ओपन-सोर्स सॉफ्टवेयर का उपभोग करने वाली कंपनियों को एक स्थायी पारिस्थितिकी तंत्र बनाने के लिए, या तो वित्तीय रूप से या डेवलपर समय के माध्यम से, वापस योगदान करना चाहिए।

सिफारिशें गैर-बाध्यकारी थीं। वे सर्वोत्तम प्रथाएं थीं। वे उन कंपनियों द्वारा स्वैच्छिक अपनाने पर निर्भर थीं जिनकी प्रोत्साहन संरचना ने ऐतिहासिक रूप से निवेश को पुरस्कृत नहीं किया था।

एक महीने के भीतर, Linux Foundation और Open Source Security Foundation ने एक संयुक्त चेतावनी जारी की कि इसी तरह के सोशल इंजीनियरिंग टेकओवर के प्रयास कई अन्य ओपन-सोर्स प्रोजेक्ट्स के खिलाफ पहले से ही चल रहे थे। OpenJS Foundation — जो Node.js, jQuery, और संबंधित JavaScript बुनियादी ढांचे को बनाए रखता है — ने सार्वजनिक रूप से खुलासा किया कि उसे xz-utils के समान पैटर्न का पालन करते हुए एक समन्वित दबाव अभियान मिला था, और इसे केवल इसलिए खारिज कर दिया था क्योंकि xz-utils के प्रकटीकरण ने समुदाय को यह सिखाया था कि क्या देखना है।

2026 के Linux Foundation की एक रिपोर्ट ने पारिस्थितिकी तंत्र में व्यापक पैटर्न का दस्तावेजीकरण किया। रिपोर्ट का मुख्य निष्कर्ष: xz-utils के साथ जो हुआ वह कोई अकेली घटना नहीं थी। यह एक विधि थी। विधि को बड़े पैमाने पर आजमाया जा रहा है। अधिकांश सफल पहचान इसलिए हो रही हैं क्योंकि xz-utils मामले ने मिलान करने के लिए एक सिग्नेचर प्रदान किया।

कितनी असफल पहचानें हैं — वे ऑपरेशन जो पहले से चल रहे हैं और अभी तक पकड़े नहीं गए हैं — सार्वजनिक स्रोतों से गिनना निर्माण के अनुसार असंभव है।

Fragment Zero पर दो एपिसोड पहले, Dark Forest परिकल्पना पर केस फाइल एक अवलोकन के साथ बंद हो गई। Liu Cixin ने 2008 में जिस सिद्धांत को औपचारिक रूप दिया था — जीवित रहने के रूप में चुप्पी, रणनीतिक आवश्यकता के रूप में छिपाना, अस्तित्वगत खतरे के रूप में प्रकटीकरण — मानव संघर्ष के इतिहास में सबसे पुराना परिचालन सुरक्षा सिद्धांत है।

हर वह शक्ति जिसने अनिश्चित खतरे और विषम क्षमता की स्थितियों में काम किया है, एक ही निष्कर्ष पर पहुंची है।

शांत रहें। सावधानी से चलें। अवलोकन मान लें।

xz-utils ऑपरेशन मानव विश्वास संबंध के भीतर निष्पादित Dark Forest है।

हमलावर ने फ़ायरवॉल का उल्लंघन नहीं किया। हमलावर ने शून्य-दिन का फायदा नहीं उठाया। हमलावर ने किसी भी क्रिप्टोग्राफिक सुरक्षा को बाईपास नहीं किया। हमलावर ने कुछ बहुत सरल किया। हमलावर तीन साल तक सादे दृष्टि में छिपा रहा, उपयोगी काम कर रहा था, वास्तविक विश्वसनीयता बना रहा था, ठीक किसी अन्य मददगार योगदानकर्ता की तरह व्यवहार कर रहा था, जबकि तैयारी कर रहा था — चुपचाप, धैर्यपूर्वक, अधिकांश तकनीकी संगठनों के लिए अकल्पनीय रणनीतिक धैर्य के साथ — वह क्षण जब तैयार बुनियादी ढांचे का उपयोग किया जाएगा।

हमला लगभग पूरी तरह से सफल रहा क्योंकि यह चुप था। इसे किसी सुरक्षा उपकरण द्वारा नहीं, किसी ऑडिट द्वारा नहीं, किसी संस्थागत रक्षा द्वारा नहीं, बल्कि एक इंजीनियर द्वारा पांच सौ मिलीसेकंड की अस्पष्टीकृत विलंबता के आकस्मिक अवलोकन द्वारा पता लगाया गया था।

Andres Freund का अपनी खोज पर बयान, प्रकटीकरण के हफ्तों बाद Mastodon पर पोस्ट किया गया, केस फाइल को बंद कर देना चाहिए।

भविष्य में भाग्य पर निर्भर रहना एक बुरी रणनीति है।

xz-utils बैकडोर पकड़ा गया।

ऑपरेशन का Dark Forest संस्करण — वह जो कंप्यूटर सिस्टम के बजाय विश्वास संबंधों को लक्षित करता है — इस समय, कुछ अनिर्धारित संख्या में अन्य महत्वपूर्ण ओपन-सोर्स प्रोजेक्ट्स के खिलाफ आजमाया जा रहा है। यह पैटर्न काम करता है। इसे काम करने वाले आर्थिक प्रोत्साहन सार्थक रूप से नहीं बदले हैं। संस्थागत प्रतिक्रियाएं वास्तविक रही हैं लेकिन अपर्याप्त हैं।

अगले एक को खोजने वाले इंजीनियर को भी भाग्य की आवश्यकता होगी। उन्हें सही समय पर सही सिस्टम पर सही बेंचमार्क देखना होगा। उन्हें एक विसंगति को उसके स्रोत तक ट्रेस करने के लिए पर्याप्त परवाह करनी होगी। उन्हें ऑपरेशन के प्रमुख द्वारा पेलोड को स्थिर रिलीज़ में शिप करने से पहले अपनी खोजों को प्रकाशित करना होगा।

उन्हें, विशेष रूप से, पांच सौ मिलीसेकंड की आवश्यकता होगी।

वह अंतराल था जो मार्च 2024 में इंटरनेट और एक अज्ञात अभिनेता द्वारा धारण की गई एक एकल क्रिप्टोग्राफिक कुंजी के बीच खड़ा था जो पृथ्वी पर SSH चलाने वाले हर Linux सर्वर को अनलॉक कर देता।

Fragment Zero केस फाइल को ट्रैक करेगा।

केस फाइल बंद नहीं होती। यह इंतजार करती है।