인터넷의 최초 하이재킹: 한 자원봉사자가 리눅스를 거의 다운시킬 뻔했다

500밀리초.

0.5초.

인터넷이 하이재킹당하지 않은 차이.

2024년 3월. San Francisco.

38세의 Microsoft 엔지니어 Andres Freund는 Debian 개발 시스템에서 PostgreSQL 벤치마킹을 하고 있었다. 그것은 일상적인 작업이었다. Freund는 PostgreSQL 프로젝트의 커미터였다. 그는 정기적으로 작업의 일환으로 사전 출시 Linux 배포판에 대해 데이터베이스 성능을 테스트했다.

테스트 환경에 뭔가 문제가 있었다.

실패한 SSH 로그인 시도 — 모든 공개 서버에 끊임없이 발생하는, 무작위 사용자 이름과 암호 조합을 시도하는 자동화된 봇들 — 가 마땅히 사용해야 할 것보다 훨씬 많은 CPU를 사용하고 있었다. 실패한 로그인은 빠르게 종료되어야 한다. 이것들은 빠르게 종료되지 않고 있었다.

Freund는 이를 알아차렸다.

그는 더 조사했다. 그의 로컬 머신에서 성공적인 SSH 로그인이 약 100밀리초의 기준선보다 500밀리초 더 오래 걸리고 있었다.

0.5초.

Freund는 메모리 디버깅 도구인 Valgrind로 연결을 실행했다. Valgrind는 SSH 데몬이 호출할 정당한 이유가 없는 압축 라이브러리인 liblzma를 가리키는 오류를 발생시켰다.

이때 조사는 긴급해졌다.

다음 며칠 동안 Freund는 오류를 추적했다. 그는 그의 테스트 머신에서 sshd 프로세스가 인증 중에 liblzma의 코드를 실행하고 있다는 것을 발견했다. 그는 git 저장소에서 xz-utils 소스를 해부했다. 소스는 깨끗했다. 하지만 릴리스 tarball — Debian이 실제로 다운로드하여 빌드하는 압축된 소스 아카이브 — 에는 git 소스에 없는 build-to-host.m4라는 파일이 포함되어 있었다.

그 파일에는 난독화된 스크립트가 포함되어 있었다. 이 스크립트는 압축 라이브러리의 오류 처리를 위한 손상된 테스트 입력으로 위장한 bad-3-corrupt_lzma2.xz라는 테스트 파일 안에 숨겨진 bash 스크립트를 디코딩한다. bash 스크립트는 사용자 지정 난독화와 RC4 복호화를 결합하여 good-large_compressed.lzma라는 두 번째 파일을 디코딩한다.

이 사슬의 끝에서 나오는 것은 컴파일된 공유 객체이다.

그 공유 객체는 백도어였다.

2024년 3월 29일 저녁 — 본인의 말에 따르면 요리 휴식 중에 보안 팟캐스트를 듣다가 — Andres Freund는 Openwall의 oss-security 메일링 리스트에 그의 발견을 게시했다.

24시간 이내에 Red Hat은 이에 CVE 번호를 할당했다. 심각도 점수는 10.0이었다. 최고점이다. CISA는 긴급 권고를 발행했다. Debian, SUSE, Fedora, Arch, Kali는 모두 영향을 받은 패키지를 되돌렸다. GitHub는 백도어를 커밋한 관리자의 계정을 정지시켰다.

그 백도어는 약 2주 이내에 안정적인 Linux 배포판과 함께 출시될 예정이었음이 밝혀졌다.

Freund는 우연히 그것을 발견했다.

이것은 일어난 일에 대한 사건 파일이다. 거의 일어날 뻔한 일에 대해. 그리고 그 작전이 무엇이었는지에 대해.

공격의 목표는 xz-utils였다.

xz-utils는 압축 툴킷이다. 주요 도구인 xz 명령은 .xz 파일을 생성하는데, 이는 더 높은 압축률을 가진 Unix의 .zip 파일과 동등하다. 이 명령줄 도구 아래에는 필요한 다른 프로그램에 압축 알고리즘을 제공하는 liblzma라는 라이브러리가 있다.

liblzma는 엄청나게 많은 Linux 시스템 소프트웨어에 의해 직간접적으로 로드된다. 패키지 관리자가 이에 연결된다. 시스템 유틸리티가 이에 연결된다. 그리고 — 공격자들이 특별히 설계한 사슬을 통해 — OpenSSH 데몬이 이에 연결된다.

이 사슬은 다음과 같이 작동한다. 대부분의 주요 Linux 배포판에서 sshd는 systemd의 서비스 알림 메커니즘인 sd_notify를 지원하도록 패치되어 있다. 이 패치는 sshd가 libsystemd라는 라이브러리를 로드하게 한다. 그리고 libsystemd는 차례로 liblzma를 로드한다.

결과: 대부분의 프로덕션 Linux 서버에서 SSH 데몬 — 원격 로그인을 수락하는 프로세스 — 은 SSH가 인증 트래픽을 압축하지 않음에도 불구하고 시작 시 압축 라이브러리를 로드한다.

압축 라이브러리를 손상시키면, 인터넷상의 모든 Linux 서버에 대한 원격 액세스를 제어하는 데몬을 손상시키는 것이다.

백도어가 거의 배포될 당시, Linux는 전 세계 상위 100만 개 웹 서버의 약 96%에서 실행되고 있었다. 전 세계에서 가장 강력한 슈퍼컴퓨터 500대 모두. Amazon Web Services, Google Cloud, Microsoft Azure의 가상 머신 중 약 92%를 차지했다. 전 세계 스마트폰의 약 85%를 구동하는 Android는 Linux 커널을 기반으로 한다.

xz-utils 백도어는 안정적인 배포판에 출시되었다면 위 모든 것의 상당 부분에 존재했을 것이다.

Facebook의 전 최고 보안 책임자 Alex Stamos는 의도된 결과를 한 문구로 설명했다: 지구상의 모든 SSH 서버에 대한 마스터 키.

이것이 CVE 점수가 10.0으로 매겨진 이유이다.

백도어의 기술적 설계는 정확히 이해할 가치가 있다.

공격자는 릴리스 tarball에 버전 제어되는 git 소스에는 존재하지 않는 자동 생성 파일이 포함되어 있다는 사실을 악용했다. 특히, tarball의 build-to-host.m4 파일에는 빌드 프로세스의 구성 단계에 난독화된 스크립트를 삽입하도록 수정된 한 줄이 포함되어 있었다.

이는 git 소스 코드를 읽는 누구도 백도어를 볼 수 없었음을 의미했다. git에서 빌드하는 누구도 그것을 트리거할 수 없었다. 릴리스된 tarball에서 빌드하는 Linux 배포판 — 사실상 모든 배포판 — 만이 주입을 실행할 것이었다.

주입 사슬은 세 단계였다. 1단계는 손상된 압축 테스트 입력으로 위장한 파일에서 bash 스크립트를 추출했다. 2단계는 그 bash 스크립트를 사용하여 두 번째 테스트 파일을 컴파일된 공유 객체로 디코딩했다. 3단계는 공유 객체를 컴파일된 liblzma 바이너리에 연결했다.

공유 객체는 IFUNC — 간접 함수 해석기 — 라고 불리는 합법적인 glibc 기능을 사용하여 RSA_public_decrypt라는 특정 OpenSSH 함수를 하이재킹했다.

RSA_public_decrypt는 인증서 인증 중에 RSA 서명을 검증하는 OpenSSH 함수이다. 클라이언트가 RSA 인증서를 사용하여 연결을 시도할 때마다 sshd는 이 함수를 호출하여 서명을 확인한다.

백도어가 활성화되면 sshd는 대신 공격자의 코드를 호출했다.

공격자의 코드는 클라이언트 인증서에 전달된 큰 정수 값인 RSA 공개 모듈러스를 검사했다. 일반적으로 이 값은 표준 RSA 검증에 사용된다. 백도어에서는 실제로는 페이로드 컨테이너였다. 코드는 하드코딩된 ChaCha20 대칭 키를 사용하여 페이로드를 복호화했다. 그런 다음 하드코딩된 Ed448 공개 키를 사용하여 복호화된 페이로드의 서명을 확인했다.

서명이 확인되면 — 즉 페이로드가 공격자의 개인 키로 서명되었다면 — 코드는 임베디드 셸 명령을 root 권한으로 실행했다.

이것이 보안 연구자들이 게이트 원격 코드 실행이라고 부르는 것이다. 백도어는 공격자가 유효한 암호화 서명을 제시할 때만 활성화된다. 백도어를 우연히 발견한 일반 공격자는 이를 악용할 수 없었다. Ed448 개인 키 소유자만이 이를 트리거할 수 있었다.

이 세부 사항이 중요하다. 판매용 취약점을 구축하는 범죄자는 구매하는 누구든 사용할 수 있도록 만든다. 지속적인 접근 기능을 구축하는 국가 행위자는 그것을 독점적으로 만든다. 그들과 그들이 명시적으로 승인한 사람만이 키를 사용할 수 있다.

xz-utils 백도어는 독점적인 사용을 위해 설계되었다. 그것은 취약점이 아니었다. 그것은 전략적 자산이었다.

백도어를 생성한 작전은 2021년 1월 26일에 시작되었다.

그 날짜에 JiaT75라는 사용자 이름으로 GitHub 계정이 생성되었다. 표시 이름은 Jia Tan이었다. 그 계정은 이전에 디지털 발자국이 없었다. 그 이름으로 소셜 미디어 활동도 없었다. 컨퍼런스 발표도 없었다. 이전 오픈 소스 기여도 없었다. 데이터 유출에서 나타난 적도 없었다. 이 이름은 가명으로 보인다.

JiaT75의 xz-utils에 대한 첫 공개 기여는 계정 생성 9개월 후인 2021년 10월 29일에 이루어졌다. 그것은 편집기 구성 파일에 대한 사소한 패치였다. 무해하고 중요하지 않았다. 주의를 끌지 않으면서 존재감을 확립하는 종류의 기여였다.

다음 2년 5개월 동안 JiaT75는 오픈 소스 프로젝트에 500개 이상의 커밋을 작성했다. 대다수는 합법적인 개선 사항이었다 — 코드 검토, 번역, 지속적인 통합 유지 보수, 버그 수정. 유용한 작업이었다. 진정으로 도움이 되었다.

그 커밋들 중 약 8개는 악의적이었다.

그 비율이 중요하다. 60대 1. 악의적인 커밋 하나당, 운영자는 60개의 실제적이고 유용한 작업을 만들어냈다. 이것이 통계적 이상 분석을 통해 패턴을 탐지하는 것을 불가능하게 만들었다. 공격자는 궁극적으로 중요한 8가지 변경 사항을 커밋하는 데 필요한 신뢰를 쌓기 위해 2년 반 동안 진정으로 가치 있는 기여를 하는 데 전념했다.

그 작전은 단독으로 진행되지 않았다.

2022년 4월부터 Jigar Kumar라고 자칭하는 사용자가 xz-devel 메일링 리스트에 나타났다. Kumar는 2022년 4월 이전에는 리스트에 기록이 없었다. 그의 모든 활동은 프로젝트의 주요 관리자에게 느린 응답 시간에 대해 불평하고 새로운 관리자를 추가할 것을 요구하는 압력성 이메일로 구성되었다.

2022년 5월, 두 번째 계정 — Dennis Ens — 이 나타나 xz-utils의 Java 버전 유지 보수 상태에 대해 문의하고 추가적인 압력 메시지를 보냈다.

두 계정 모두 동일한 프로필을 가지고 있었다. 2022년 이전에는 디지털 활동이 없었다. xz-devel 메일링 리스트 밖에서의 활동도 없었다. 압력 캠페인 전후로 다른 프로젝트에 참여한 적도 없었다.

백도어가 커밋되기 몇 주 전인 2024년 2월에 세 번째 계정이 나타났다. Hans Jansen. Jansen의 역할은 Debian 관리자들이 손상된 xz-utils 버전을 가능한 한 빨리 채택하도록 압력을 가하는 것이었다. 2024년 3월 25일, Hans Jansen은 Debian 버그 보고서를 제출하여 명시적으로 업그레이드를 요청했다.

4일 후, Andres Freund는 oss-security에 그의 발견을 게시했다.

추가적인 지원 계정 두 개 — krygorin4545 및 misoeater91 — 는 동일한 패턴을 따르며 다양한 스레드에서 배경 압력을 제공했다. 작전 이전에는 존재하지 않았다. 특정 압력 기간 동안에만 참여했다. 목표 달성 후 사라졌다.

Kaspersky의 사고 후 분석에서는 sock-puppet 이름의 지리적 스타일이 일관되지 않았다는 점(싱가포르, 유럽, 인도)을 지적하며, 운영자가 의도적으로 위장 신원을 분산시켜 조율된 모습을 피하려 했을 수 있다고 시사했다. 그러나 행동 패턴 — 등장 시기, 동기화된 압력 지점, 각 목표 달성 후의 집단적 사라짐 — 은 단일 운영자 또는 긴밀하게 조율된 팀을 시사했다.

압력은 통했다.

2022년 6월 29일, xz-utils의 주요 관리자 — 핀란드 소프트웨어 개발자 Lasse Collin — 는 메일링 리스트에 회신하여 Jia Tan이 앞으로 프로젝트에서 더 큰 역할을 할 것이며, 실제로는 이미 공동 관리자로 기능하고 있다고 밝혔다.

이것이 인계였다.

방금 무슨 일이 일어났는지 이해하려면 Lasse Collin의 입장이 어떠했는지 이해할 필요가 있다.

Collin은 2009년부터 xz-utils를 혼자서 유지 보수해왔다. 이 프로젝트는 무급이었다. 그는 자유 시간에 작업했다. 같은 달 초, 2022년 6월 메일링 리스트 회신에서 Collin은 장기적인 정신 건강 문제로 어려움을 겪고 있다고 공개적으로 인정했다. 그는 자신의 말로 이 프로젝트를 무급 취미 프로젝트라고 언급했다.

Lasse Collin은 일어난 일에 대해 책임이 없다. 보안 커뮤니티는 이 점에 대해 만장일치로 동의했다. Collin은 무급 취미 작업을 하고 있었다. 그는 기록된 건강 문제로 어려움을 겪고 있었다. 그는 결국 국가급 정보 작전으로 밝혀진 것으로부터 지속적이고 조직적인 압력을 받고 있었다. 그를 그 위치에 놓은 시스템이 그를 실패하게 만들었다. 그가 시스템을 실패하게 한 것이 아니다.

그 작전이 악용한 것은 Collin의 역량이 아니었다. 그것은 그의 구조적인 위치였다 — 혼자서, 무급으로, 현실적인 스트레스 요인을 다루며, 수십억 명의 사람들이 사용하는 인프라를 기관의 지원 없이 유지 보수해야 하는 책임.

전문 공격자는 그 구조를 파악하고 목표로 삼았다.

인계가 완료되자 인프라 준비가 시작되었다.

2022년 10월, Jia Tan은 GitHub의 Tukaani 조직에 추가되었다. 2022년 12월, 그는 저장소의 조직 구조를 만들고 첫 릴리스를 수행했다. 2023년 3월, 그는 Google의 자동 취약점 스캐닝 플랫폼인 OSS-Fuzz의 주요 보안 연락처 이메일을 Lasse Collin의 주소에서 자신의 주소로 변경했다. 그 시점부터 모든 보안 관련 버그 보고서는 다른 누구보다 Jia Tan에게 먼저 도달하게 되었다.

2023년 6월, Jia Tan은 liblzma에 IFUNC 해석기 인프라를 도입했다. 이 커밋들은 합법적인 성능 최적화 작업으로 보였다. 회고적으로 볼 때, 그것들은 백도어가 결국 주입될 고리였다.

2023년 7월, Jia Tan은 xz에 대한 IFUNC 퍼징을 비활성화하기 위해 OSS-Fuzz에 pull request를 열었다. 이 변경은 퍼즈 테스트 파이프라인이 결국 출시될 IFUNC 기반 백도어의 이상 징후를 감지하는 것을 방지하기 위한 것이었다.

2024년 2월, 별도의 커밋이 프로세스 권한을 제한하는 Linux 커널 보안 기능인 Landlock의 빌드 시스템 감지를 깨뜨렸다. 이 커밋은 그렇지 않았다면 Landlock을 강제했을 시스템에서 xz 자체의 샌드박스를 비활성화했다.

2024년 2월 23일과 3월 9일, 백도어 자체는 두 단계로 커밋되었으며, xz-utils 5.6.0 및 5.6.1 릴리스의 일부로 패키징되었다.

19일 후, Andres Freund는 500밀리초의 SSH 지연을 알아차렸다.

작전이 남긴 커밋 메타데이터를 분석한 연구원들은 한 가지 패턴을 알아차렸다.

Jia Tan의 커밋 타임스탬프는 주로 중앙 유럽 또는 동유럽 시간대에 집중되었다. 근무 시간은 대략 중앙 유럽 시간으로 오전 9시부터 오후 5시까지에 해당했다. 주요 중국 공휴일에는 활동이 계속되었고, 여러 유럽 공휴일에는 중단되었다.

이름과 주장된 작전 지리적 위치는 동아시아였다. 실제 작업 패턴은 유럽이었다.

이것이 정보 작전 분석가들이 서명 누출이라고 부르는 것이다. 한 운영자는 30개월 이상 위장 신분을 유지했다. 그러나 모든 git 커밋에 포함된 자동 타임스탬프는 주기적으로 커밋을 생성한 기계의 실제 위치를 드러냈다.

관련 전문 지식을 가진 보안 연구원들의 공개 분석에서 세 가지 후보 귀속이 나타났다.

전 NSA 컴퓨터 과학자였던 미국 보안 연구원 Dave Aitel은 이 작전이 APT29 — 미국과 영국 정부가 러시아의 Foreign Intelligence Service에 귀속시킨 고급 지속 위협 그룹 — 에 귀속될 수 있는 패턴과 일치한다고 공개적으로 평가했다. APT29는 2020년에 공개된 SolarWinds 공급망 침해를 포함하여 장기간의 첩보 캠페인으로 알려져 있다. Moscow 시간대와 일치하는 근무 시간은 Jia Tan의 패턴과 부합한다.

정교한 작전 귀속에 30년의 경험을 가진 Kaspersky의 글로벌 연구 및 분석 팀 전 이사 Costin Raiu는 2026년 2월 팟캐스트 인터뷰에서 세 가지 유력한 후보를 지목했다. 러시아의 APT29가 하나였다. 중국의 Ministry of State Security와 관련된 APT41이 두 번째였다. 이전 Fragment Zero 보도에서 이미 다루어졌던 북한의 Lazarus Group이 세 번째였다.

2026년 4월 현재, 어떤 정보기관도 이 작전을 공개적으로 귀속시키지 않았다. 기소된 사항도 없다. 체포된 사람도 없다. Jia Tan의 실제 신원은 여전히 알려지지 않았다.

관련 기술 전문성을 가진 연구원들 사이에서 논란의 여지가 없는 것은 이 작전의 인내심, 작전 보안, 암호학적 정교함, 자원 투입이 국가 정보기관 — 또는 이에 준하는 기능적 주체 — 과 일치하며, 개인 범죄자나 핵티비스트 활동과는 일치하지 않는다는 점이다.

이것은 단독 해커의 소행이 아니었다.

xz-utils 작전은 현대 기술 문명이 핵심 인프라를 구축하는 방식의 구조적 특징 때문에 가능했다.

인터넷을 구동하는 소프트웨어는 상당 부분 자원봉사자들이 자신의 시간을 들여 구축했다. 이 소프트웨어로 이익을 얻는 회사들은 그 경제적 가치의 작은 부분만을 기여해왔다.

xz-utils는 모든 주요 Linux 배포판에 번들로 제공되었고 전 세계 서버의 엄청난 부분에서 실행되었다. 그 관리자는 무급이었다. 인터넷 대부분에 암호화를 제공하는 라이브러리인 OpenSSL은 2014년 Heartbleed 취약점 이전에 인력 부족으로 악명 높았다. 2021년 Log4Shell 취약점의 배후에 있는 Java 로깅 라이브러리인 Log4j는 전 세계 기업 인프라 뒤에서 소수의 자원봉사자들에 의해 유지 보수되었다.

모든 경우에, 수십억 달러 규모의 회사들이 핵심 인프라로 취급하는 라이브러리가 취미 프로젝트 자원으로 유지 보수되었다.

xz-utils 작전은 이러한 구조적 취약점을 발명한 것이 아니다. 그것을 악용한 것이다.

2024년 4월 11일 — Freund의 공개 후 2주 뒤 — U.S. Cybersecurity and Infrastructure Security Agency는 구조적 문제를 인정하는 공식 성명을 발표했다. CISA의 입장: 오픈 소스 인프라를 보호하는 부담은 개별 무급 관리자에게 전가될 수 없으며, 오픈 소스 소프트웨어를 사용하는 기업은 지속 가능한 생태계를 만들기 위해 재정적으로나 개발자 시간을 통해 기여해야 한다.

이 권고는 구속력이 없었다. 그것은 모범 사례였다. 그것은 역사적으로 투자에 보상하지 않는 유인 구조를 가진 기업들의 자발적인 채택에 의존했다.

한 달 이내에 Linux Foundation과 Open Source Security Foundation은 유사한 사회 공학적 인수 시도가 이미 여러 다른 오픈 소스 프로젝트에 대해 진행 중이라는 공동 경고를 발표했다. Node.js, jQuery 및 관련 JavaScript 인프라를 유지 보수하는 OpenJS Foundation은 xz-utils와 동일한 패턴을 따르는 조직적인 압력 캠페인을 받았으며, xz-utils 공개가 커뮤니티에 무엇을 찾아야 할지 가르쳐주었기 때문에 이를 거부할 수 있었다고 공개적으로 밝혔다.

2026년 Linux Foundation 보고서는 생태계 전반에 걸친 더 넓은 패턴을 문서화했다. 보고서의 핵심 발견: xz-utils에서 발생한 일은 단일 사건이 아니었다. 그것은 하나의 방법이었다. 이 방법은 대규모로 시도되고 있다. 대부분의 성공적인 탐지는 xz-utils 사례가 일치시킬 서명을 제공했기 때문에 발생하고 있다.

얼마나 많은 실패한 탐지 — 이미 진행 중이지만 아직 잡히지 않은 작전 — 가 있는지는 공개 소스에서 구성상 셀 수 없다.

Fragment Zero의 두 에피소드 전, Dark Forest 가설에 대한 사건 파일은 한 가지 관찰과 함께 종결되었다. Liu Cixin이 2008년에 정립한 교리 — 생존을 위한 침묵, 전략적 필요성으로서의 은폐, 존재적 위험으로서의 노출 — 는 인류 갈등 역사상 가장 오래된 작전 보안 원칙이다.

불확실한 위협과 비대칭 능력 조건에서 운영된 모든 세력은 동일한 결론에 도달했다.

조용히 있어라. 신중하게 움직여라. 관찰되고 있다고 가정하라.

xz-utils 작전은 인간의 신뢰 관계 내에서 실행된 Dark Forest이다.

공격자는 방화벽을 침해하지 않았다. 공격자는 제로데이 취약점을 악용하지 않았다. 공격자는 어떤 암호화 보호도 우회하지 않았다. 공격자는 훨씬 더 간단한 일을 했다. 공격자는 3년 동안 눈에 띄게 숨어 유용한 작업을 수행하고, 진정한 신뢰를 구축하며, 다른 어떤 유용한 기여자처럼 행동하면서 — 대부분의 기술 조직에는 상상할 수 없는 전략적 인내심을 가지고 조용하고 끈기 있게 — 준비된 인프라가 사용될 순간을 준비했다.

공격은 거의 전적으로 침묵했기 때문에 성공했다. 그것은 어떤 보안 도구도, 어떤 감사도, 어떤 기관 방어도 아닌, 한 엔지니어가 500밀리초의 설명할 수 없는 지연을 우연히 관찰함으로써 감지되었다.

공개 후 몇 주 동안 Mastodon에 게시된 Andres Freund의 자신의 발견에 대한 진술은 사건 파일을 종결시켜야 한다.

미래에 운에 의존하는 것은 나쁜 전략이다.

xz-utils 백도어는 잡혔다.

Dark Forest 버전의 작전 — 컴퓨터 시스템이 아닌 신뢰 관계를 목표로 하는 — 은 지금 이 순간에도 불특정 다수의 다른 중요한 오픈 소스 프로젝트에 대해 시도되고 있다. 이 패턴은 작동한다. 그것을 작동하게 만드는 경제적 유인책은 의미 있게 변하지 않았다. 기관의 대응은 실제적이었지만 불충분했다.

다음 사건을 발견할 엔지니어 또한 운이 필요할 것이다. 그들은 적절한 시간에 적절한 시스템에서 올바른 벤치마크를 보고 있어야 할 것이다. 그들은 이상 현상을 그 근원까지 추적할 만큼 충분히 신경 써야 할 것이다. 그들은 작전의 주체가 이미 안정적인 릴리스에 페이로드를 출하하기 전에 그들의 발견을 게시해야 할 것이다.

그들은 특히, 500밀리초가 필요할 것이다.

그 간격은 2024년 3월의 인터넷과, 지구상의 모든 SSH 실행 Linux 서버를 잠금 해제할 수 있었던 미지의 행위자가 보유한 단일 암호화 키 사이에 놓여 있던 것이다.

Fragment Zero는 이 사건 파일을 추적할 것이다.

사건 파일은 닫히지 않는다. 그것은 기다린다.