0.0
五百毫秒.
1.84
一秒半.
3.379
互联网没有的边缘
6.559
劫持了.
6.919
2024年3月.
10.039
旧金山.
11.56
一名38岁的微软工程师Andres Freund是
15.298
在 Debian 开发系统上进行 PostgreSQL 基准测量.
18.306
这是一项常规任务.
20.454
弗朗德是PostgreSQL项目中的一个参与者.
23.893
他测试了数据库性能与发布前的Linux分发版本相比.
27.332
作为他工作的常规组成部分.
30.339
有什么问题在测试环境.
33.2
失败的SSH登录尝试是所做的
36.863
每个面向公众的服务器都在不断地被自动化机器人试图击中.
40.228
随机用户名和密码组合使用
43.591
远远超过了他们应该的CPU.
46.115
失败登录应该迅速终止.
48.637
这些都没有很快结束.
50.74
朋友的通知.
52.32
他进一步调查了.
53.926
成功登录的SSH登录,在自己的本地机器上,
57.406
需要五百毫秒的时间比长.
60.889
基本线约为一百毫秒.
63.5
一秒半.
64.92
弗朗德在Valgrind下运行了连接,这是一个缓存调试
69.763
工具.工具.
70.17
瓦尔格林投了指向liblzma的错误.
73.414
压缩库,SSH大emon没有
76.658
合理的理由来提出.
78.28
这就是调查的紧迫性.
81.299
在接下来的几天里,Friend追踪了
84.772
错误.错误.
85.168
他发现,他的上是SSHD进程.
88.34
测试机正在从liblzma中执行代码.
91.512
验证.
91.908
他在 git中剖析了xz-utils源.
95.079
库存.
95.475
源源是清洁的.
97.061
但释放的球是压缩的源
100.233
底部实际上从存档下载和构建的 Debian 文件.
103.406
包含一个叫做 build-to-host.m4 的文件,这是
106.578
不在git源中.
108.56
那个文件包含一个糊的脚本.
111.801
该脚本将一个隐藏在内部的bash脚本解码.
115.722
一个叫做bad-3-corrupt_lzma2.xz的测试文件.
119.644
这被伪装为破产的测试输入
123.566
对于压缩库的错误处理.
126.507
脚本解码了第二个文件, good-large_compressed.lzma,,
130.429
使用使用RC4解密的定制模结.
133.86
结尾的结果是什么?
136.834
是一个编译的共享对象链.
138.84
共享对象是一个后门.
141.979
在2024年3月29日晚上,
146.679
根据他自己的说法,在听着一个
149.778
在做饭休息期间播放了安全播客.
152.877
弗朗德将他的发现发送到 oss-security邮件
155.978
在Openwall上列表.
157.139
在24小时内,红帽已经分配了它
160.9
一个CVE号码.
162.198
严重程度分数为零点.
165.224
尽可能高的.
166.522
美国国际安全局 (CISA) 发布了紧急建议.
168.685
迪拜,SUSE,Fedora,Arch和Kali都会逆转
172.145
影响的包裹.
173.443
吉特哈布暂停了维护者谁的帐户.
176.902
后门被迫进入了.
178.199
结果,后门计划在
181.644
稳定Linux分发的 Linux 运输器在大约两内运行.
184.787
几周.
185.18
弗朗德偶然抓住了它.
187.08
这是发生的事情的案例文件.
191.578
关于几乎发生的事情.
193.026
关于什么是手术.
195.199
攻击目标是xz-utils.
199.06
xz-utils是一个压缩工具包.
201.688
它的主要工具,即xz命令,产生了 .xz.
205.414
Unix相当于 .zip 文件的文件,
209.14
具有更高的压缩比率.
211.003
在命令行工具下,有一个名为的图书馆.
214.73
提供压缩算法的 liblzma,它提供压缩算法的其他 lib
218.456
需要它的程序.
220.319
liblzma被直接或间接地加载到一个 lib
223.984
大量的Linux系统软件.
226.507
包管理人员链接到它.
228.609
系统功用程序链接到它.
230.711
通过一个链接,攻击者
234.075
专门设计了OpenSSH的 daemon链接,与其进行了攻击.
237.439
它.
237.86
链接运行是这样的.
240.689
在大多数主要的Linux分发上,sshd被补丁了
244.736
支持系统d的服务通知机制,称为 sd_notify.
248.784
那个补丁会导致sshd加载图书馆
252.831
称为libsystemd.
253.843
而libsystemd反过来,还会加载liblzma.
256.879
结果:在大多数生产Linux服务器上,该系统出现了
260.66
SSH daemon 是接受远程处理的过程
264.139
登录 在启动时加载压缩库,
267.62
尽管SSH不压缩验证流量.
271.1
妥协压缩库,你会妥协压缩库.
274.696
这是一个控制每个Linux的远程访问的 daemon
277.992
在互联网上的服务器.
279.639
在后门近乎部署的时刻,Linux
283.206
运行了大约九十六%的顶部
286.471
世界上有100万个网络服务器.
289.329
全世界五百强有权的人
292.596
超级计算机.
293.004
亚马逊的虚拟机约占到92%的数量
296.269
网络服务,谷歌云,微软Azure.
299.127
据悉,Android为85%的Android系统提供了动力.
302.394
世界上最具智能手机的版本是基于Linux内核的.
305.66
后门的xz-utils,如果它被运到稳定
308.971
分布,将存在于一个相当大的.
311.982
以上所有的部分.
314.24
亚历克斯·斯特莫斯,前安理会首席安全官
317.766
脸书用一个句子描述了预期结果:
320.99
任何SSH服务器的上是一个主键.
324.216
地球.
324.62
这就是为什么CVE得到了10分的评分.
329.675
零点.
330.54
后门的技术设计值得一提
334.487
了解,正确地理解.
335.399
攻击者利用释放球的情况
338.867
包含在中不存在的自动生成文件.
342.033
这种版本控制的 git 来源.
343.617
具体来说,Tarball中的 build-to-host.m4文件包含
346.783
一条单行,已改为.
349.949
给配置步骤注入一个糊的脚本
353.117
构建过程的.
354.699
这意味着任何读到git源的人都能读到git源
357.783
代码无法看到后门.
359.87
任何从git构建的人都无法触发它.
362.653
只有Linux分发,这些分发是从发布的中构建的
365.437
球,实际上是所有球.
368.22
会执行注射.
369.959
接入链是三个阶段.
372.636
第一个阶段从一个中提取了Bash脚本.
375.803
文件伪装成腐败的压缩测试输入.
378.971
第二阶段使用了那个脚本来解码.
382.139
另一个测试文件被编译成共享文件
385.307
对象.
385.704
第三阶段将共享对象连接到中.
388.872
编译了二进制 liblzma.
390.06
共有对象使用了合法的glibc功能
394.492
IFUNC 间接函数称为解决器 to
398.624
劫持一个特定的OpenSSH函数,称为RSA_public_decrypt.
402.24
RSA_public_decrypt是验证RSA的OpenSSH函数
406.473
在证书认证过程中签署的签名.
408.439
每当客户端尝试使用来连接时,
412.372
在RSA证书中,sshd将这个函数调用为.
416.305
验证签名.
417.779
随着后门的激活,sshd正在调用.
421.92
攻击者代码而不是.
423.36
攻击者代码检查了RSA公共模块
427.163
在中传递的大整数值
430.668
客户的证书.
431.543
通常,这个值在标准RSA中使用.
435.048
验证.
435.485
在后门里,它实际上是一辆有效载荷.
438.99
集装箱.
439.427
该代码通过硬码解密了有效载荷
442.932
查查20对称键.
444.245
然后它通过来验证解密的有效载荷的签名.
447.75
一个硬编码的Ed448公钥.
449.939
如果签名验证了,那么这意味着有效载荷.
453.107
攻击者的私钥被签署.
455.973
代码执行了嵌入式的命令,如.
458.841
根.
459.199
这就是安全研究人员所说的关门遥控器
464.192
执行代码.
465.04
后门只有当攻击者呈现时才会激活.
468.432
一个有效的加密签名.
470.127
一个偶然偶然穿过后门的普通攻击者.
473.519
无法利用它.
475.216
只有Ed448私钥持有者
478.608
可能会触发它.
479.879
这一细节很重要.
481.367
一个犯罪演员正在开发出一个漏洞,并将其出售.
484.536
这使得购买者能够使用它.
487.307
一个国家演员建立了持续的访问能力
490.475
这使得它成为独家的.
491.663
只有他们,以及他们明确授权的人,才能
494.831
使用钥匙.
496.019
xz-utils后门是专用设计的.
499.875
这不是一个脆弱性.
502.098
这是一个战略资产.
504.319
后门的操作开始于19日.
508.721
2021年1月26日,我在
510.259
在那个日期,一个GitHub帐户被创建
514.092
在用户名JiaT75下.
515.859
显示名称是贾坦.
518.508
账户没有以前的数字足迹.
521.599
没有社交媒体存在,这个名字.
524.69
没有会议谈话.
526.014
没有以前的开源贡献.
527.78
没有出现数据泄露事件.
529.989
这个名字似乎是一个伪名.
533.08
贾特75首次公开对xz-utils的贡献发生在日.
537.379
十月二十九日,2021年 九个月后的
541.379
创建帐户.
542.379
这是一个编辑的小补丁
546.379
配置文件.
547.379
无辜的.
547.879
这并不重要.
548.379
这种贡献可以建立一个没有的存在.
552.379
绘制审查.
553.379
在接下来的两年五个月里,
557.476
贾特75撰写了五百多篇承诺,
561.274
开源项目.
562.222
大多数都是合法改进的代码.
566.019
评论,翻译,连续集成维护, bug fixes.
569.341
有用的工作.
570.291
真正有帮助.
571.24
其中约有八起行为是恶意的.
574.34
比例是重要的.
575.889
六十到一.
577.138
每次恶意提交,操作员产生了六十.
580.47
实际上,这些作品是有用的.
582.551
这就是使得模式无法实现的原因
585.883
通过统计异常分析检测.
587.965
攻击者花了两年半的时间
591.296
致力于创造真正有价值的贡献,纯粹是
594.626
为了积累承诺所需的信任,必须进行
597.957
八个最终重要变化.
600.039
这次行动并没有独自完成.
603.919
从2022年4月开始,一个用户自称为
607.337
吉加尔·库马尔 appeared on the xz-devel mailing list. 吉加尔·库马尔 appeared on the xz-devel mailing list.
610.456
库马尔之前没有在名单上记录过任何事物.
613.575
2022年4月.
614.355
他的整个存在包括向的压力电子邮件.
617.472
项目负责人抱怨反应缓慢
620.591
要求一个新的维护员.
623.71
added. 添加了.
624.1
2022年5月,第二个账户 丹尼斯
627.798
先生出现,询问了维护状况.
631.197
对于xz-utils的Java版本,并使用以下版本:
634.596
增加了额外的压力信息.
636.72
两个账户都具有相同的配置文件.
639.62
在2022年之前,没有数字存在.
641.787
在xz-devel邮件列表之外没有活动.
644.82
之前或之前没有参与任何其他项目.
648.287
在压力运动之后.
650.019
在2024年2月,在后门前几周,门将会出现.
653.788
已提交第三个帐户出现.
656.823
汉斯·詹森.
657.691
詹森的作用是压力Debian维护人员进入
661.159
尽快就会采取危害版本的xz-utils
664.629
尽可能多.
665.495
2024年3月25日,汉斯·詹森提交了一份诉讼.
668.965
迪拜 bug 报告明确要求升级.
672.0
四天后,Andres Freund发布了他的发现.
676.043
为了 oss-security.
676.98
另外两个支持账户是krygorin4545和misoeater91.
682.991
提供了各种线程的背景压力,如下
687.403
模式相同.
689.058
没有预科现场.
690.712
只有在特定压力窗口期间参与.
694.022
目标实现后消失.
696.779
卡巴斯基的事件后分析指出,地理风格
701.02
子子的名字的不一致性是新加坡的,
704.962
欧洲,印度人暗示运营商已经
708.903
为了避免的发生,故意分散了隐藏身份.
712.845
协调的出现.
714.322
但行为模式是表现的时间,
718.264
按同步的压力点,每一个目标后,集体消失
722.206
建议单个操作员或紧密协调
726.147
团队.
726.639
压力有效.
728.299
在2022年6月29日,首席维护员
731.697
xz-utils 是一名芬兰软件开发人员,名叫Lasse.
734.796
科林回答了邮件列表,并
737.894
陈表示,贾坦将拥有更大的
740.99
未来该项目将发挥作用,并将
744.089
在实践中,他已经作为一名共同维护者.
746.799
这是交付.
748.82
为了了解刚刚发生的事情,这是
752.299
了解拉斯科林的立场是必要的.
755.48
自2009年以来,科林一直在单独维护xz-utils.
758.51
项目还没有付费.
760.072
他在空时间里就在努力.
763.192
同月早些时候,在2022年6月
766.315
在邮件列表回复中,科林公开承认了
769.436
他正在处理长期的心理健康问题.
772.557
他提到这个项目,在自己的话中
775.678
作为一个未付费的爱好项目.
778.019
拉斯科林并不是发生的事情的责任.
782.432
安全界一致同意这一点.
785.245
积分.
785.596
科林正在做无薪的爱好工作.
787.706
他正在处理记录的健康挑战.
790.168
他受到持续的协调压力,来自于什么?
792.98
结果是一项国家级情报行动.
795.793
让他处于这种位置的系统
798.606
他失败了.
799.309
他并没有失败系统.
801.419
这次行动利用的不是科林的能力.
805.279
这是他独处的结构性地位,没有薪水,
808.84
处理现实压力因素,负责维护基础设施
812.399
没有机构支持,数十亿人使用它.
815.96
专业攻击者确定了这个结构,并准了
819.993
它.
820.46
一旦交付完成,基础设施的准备就开始了
824.635
开始了.
825.12
在2022年10月,贾坦被添加到
828.985
在 GitHub 上的 Tukaani 组织.
831.214
在2022年12月,他创建了该库的组织
834.779
结构并发行了他的首张版本.
837.453
2023年3月,他改变了主要安全
841.019
在谷歌的OSS-Fuzz 自动化联系方式的电子邮件
844.586
漏洞扫描平台从拉斯科林的地址到
848.15
他自己的.
849.043
从那时起,任何与安全相关的错误报告都会出现.
852.609
它会在任何人都之前达到贾坦.
856.173
其他地方.
856.62
2023年6月,贾坦引入了IFUNC解决器.
860.393
基础设施将被转化为 liblzma.
861.695
承诺似乎是正确的性能优化
865.168
工作.
865.601
后来看,它们是通过的子.
869.075
后门最终将被注射.
871.679
2023年7月,贾坦开设了一个拉
875.525
在OSS-Fuzz请求中,禁用IFUNC for的.
879.072
xz.
879.514
这种改变是为了防止测试
883.061
通过IPUNC基于后门的管道检测异常情况.
886.606
当它最终发货时.
888.379
在2024年2月,一个独立的承诺打破了的.
891.836
系统检测到Landlock的Linux内核构建
894.99
限制进程权限的安全功能.
897.357
禁令禁用了xz在系统上自己的沙箱
900.513
否则,这将会强制执行它.
902.879
在20月23日和2024年3月9日,
906.546
背门本身是两阶段完成的,包装
909.913
作为xz-utils 5.6.0和5.6.1的一部分
913.278
发布.
913.7
十九天后,Andres Freund注意到一个500毫秒
918.703
SSH延迟.
919.879
研究人员分析了由留下的提交元数据.
924.019
操作发现了一个模式.
926.419
贾坦的承诺时间表主要集中在中.
930.125
欧洲中部或东欧的时区.
933.106
工作时间相当于大约九个
936.513
在中欧早上下午5点到5点
939.918
时间.
940.345
在中国主要公共假日和期间活动继续.
943.75
在几个欧洲会议上,他们暂停了.
945.879
这个名称和声称的运营地理是.
949.679
东亚.
950.554
实际的工作模式是欧洲的.
953.179
这就是情报贸易分析师所说的签名
956.735
泄漏.
957.14
一个运营商花了30多个月的时间维护一个.
960.395
隐藏身份.
961.21
但是,每个吉特都会嵌入自动时间印.
964.464
定期地揭示了该的实际位置.
967.719
让人提交的机器.
970.159
公共分析中出现了三个候选人属性
975.53
来自具有相关专业知识的安全研究人员.
978.36
美国安全研究员Dave Aitel,前NSA
982.128
计算机科学家公开评估了该操作是否适合
985.596
归因于APT29的模式,高级
989.065
美国所归因的持续威胁群
992.533
英国政府和俄罗斯外交情报部门
996.0
服务.
996.434
据悉,APT29已以长期的间活动而闻名,包括
999.903
太阳能风电供应链妥协协议于2020年披露.
1003.37
工作时间与莫斯科时区相符.
1006.839
贾坦的模式.
1008.139
卡巴斯基前总监Costin Raiu
1012.192
全球研究和分析团队,拥有三十年的职业
1015.945
经验赋予复杂操作的经验 确定了三个
1019.697
在2026年2月接受播客采访的可观候选人.
1023.448
俄罗斯的APT29是其中之一.
1025.325
中国APT41与国务院有关.
1029.076
安全,是第二个.
1030.953
韩国拉撒路集团已经在之前的中出现了.
1034.705
零片报道,是第三次.
1037.519
截至2026年4月,没有任何情报机构已
1041.03
公开归因于该行动.
1042.635
没有起诉.
1044.643
没有人被捕.
1046.648
贾坦的真实身份仍然是不明的.
1049.859
对于研究人员的争议,什么是不争议的?
1053.861
相关的贸易技巧专业知识,是运营的耐心,
1057.561
运营安全,加密复杂性和资源承诺是
1061.262
与国家情报部门一致的信息.
1064.962
接近函数式相当于,并且不一致.
1068.663
个人犯罪或黑客活动.
1071.44
这不是一个孤独的人的作品.
1074.336
黑客.
1074.66
xz-utils操作是由于一个而可能的.
1079.203
现代技术文明如何构建的结构特征
1083.448
它的关键基础设施.
1085.039
运行互联网的软件是建立的,
1088.229
很多志愿者在工作中,都在努力.
1091.117
他们自己的时间.
1092.201
那些从这个软件中获益的公司已经拥有
1095.089
它还贡献了经济收入的小部分
1097.979
值.值.
1098.339
xz-utils与每一个主要的Linux分发都捆绑在一起
1102.17
并且在全球范围内运行了大量的
1105.7
服务器.
1106.141
它的维护员没有得到报酬.
1107.905
开放SSL,提供加密技术的库大多数
1111.435
在互联网的出现之前,人们很不满意的人员不足.
1114.965
2014年,他发现了"心脏漏洞".
1116.73
后面的Java登录库Log4j,这是Log4Shell的后面的Java登录库.
1120.26
2021年的漏洞被少数人维持.
1123.79
志愿者在全球企业基础设施背后.
1126.88
在每一个情况下,图书馆都被视为关键.
1131.227
亿万美元的公司通过爱好项目维护了基础设施
1135.273
资源.
1135.779
xz-utils操作并没有发明这种结构.
1140.532
脆弱性.
1141.089
它利用了它.
1142.759
在2024年4月11日,两周后,
1148.166
弗朗德的披露 美国
1150.547
网络安全和基础设施安全局发布了正式的声明
1154.355
声明承认结构性问题.
1156.733
美国公开信息局的立场:确保开源基础设施的负担
1160.541
无法投诉个人未付费维护人员和公司
1164.348
开源软件的使用者必须有助于回报,无论是从财务角度消耗
1168.156
或通过开发人员时间,以产生可持续的
1171.963
系统.生态系统.
1172.44
这些建议是无约束力的.
1174.653
这些都是最佳实践.
1176.567
他们依赖于公司自愿收养,而这些公司的
1180.393
动机结构历史上没有回报投资.
1184.22
在一个月内,Linux基金会和
1187.789
开源安全基金会发布了一份联合警报
1191.058
警告说,类似的社会工程接管尝试是
1194.328
已经在进行的其他多个开源项目.
1197.598
开通JS基金会,维护Node.js,jQuery,
1200.868
和相关的JavaScript基础设施公开披露了
1204.137
随后,它曾经接受过协调压力运动.
1207.407
与xz-utils相同的模式,并拒绝了
1210.678
仅仅是因为xz-utils披露所教导的
1213.948
社区应该寻找什么.
1216.4
2026年Linux基金会报告记录了更广泛的情况.
1220.178
在整个生态系统中出现了模式.
1221.916
该报告的核心发现:什么是发生在xz-utils
1225.394
这并不是一个单独的事件.
1227.567
这是一种方法.
1229.307
这种方法正在进行规模试验.
1232.349
大多数成功的检测都发生在因为
1235.827
xz-utils 案例提供了一个签名来匹配
1239.305
反对.
1239.74
有多少失败的检测,有多少操作?
1242.836
进展中,尚未完成.
1245.634
是由于建筑物难以计算的被捕
1248.431
公共来源.
1249.48
两集前在零件零件,案例
1253.299
关于黑暗森林假设的文件以为关闭
1256.819
一个观察.
1257.7
2008年,·奇正式化了·奇的教义.
1261.22
沉默作为生存,隐藏作为战略必要性,启示
1264.74
作为存在危险,是最古老的运营危险.
1268.259
人类冲突历史上安全原则.
1271.779
任何曾经在条件下运作的力量
1275.584
不确定性威胁和不对称能力的趋势已经趋于
1279.087
在同样的结论上.
1280.839
保持沉默.
1282.553
仔细移动.
1283.967
假设是观察.
1285.38
xz-utils操作是暗森林执行
1291.164
在人类信任关系中.
1293.779
攻击者没有打破防火墙.
1296.971
攻击者没有利用零日.
1299.862
攻击者没有绕过任何加密保护.
1303.164
攻击者做了更简单的事情.
1305.643
攻击者在视线隐藏了三天
1308.946
多年来,我们一直在做有用的工作,建立真正的信誉,表现出良好的行为.
1312.25
就像其他任何有帮助的贡献者一样,准备
1315.555
默默地,耐心地,在战略性耐心下,难以想象的.
1318.857
大多数技术组织都会到什么时候
1322.162
准备的基础设施将被使用.
1324.64
这次袭击几乎完全成功,因为它是
1328.385
沉默.
1328.817
没有任何安全工具检测到它,
1332.262
任何审计,不是任何机构
1335.709
据说,这只是一个工程师偶然观察到的防御.
1339.154
五百毫秒的无法解释的延迟.
1341.74
关于自己发现的Andres Freund的声明,发布
1345.057
在披露后的几周内,向马斯多顿进行了治疗,
1348.074
应该关闭案件文件.
1349.96
靠未来的运气是个好事.
1353.172
糟糕的策略.
1353.9
后门被抓住了.
1358.22
黑暗森林的行动版本
1361.625
针对信任关系而不是
1364.731
目前正在尝试计算机系统,
1367.838
目前,对某种不确定的数量进行了对抗.
1370.944
其他关键的开源项目.
1372.498
这种模式是有效的.
1373.663
让它工作的经济动力有
1376.769
没有有意义的改变.
1377.933
机构的反应是真实的,但不足.
1381.039
找到下一个工程师的工程师会
1383.832
也需要运气.
1384.766
他们需要看看
1387.258
在的正确时间上,对的基准.
1389.75
系统是正确的.
1390.373
他们需要足够的注意力来追踪
1392.865
异常对其来源.
1394.422
他们需要在之前发布他们的研究结果.
1396.913
运营总监已经运送了有效载荷
1399.405
到稳定的发行.
1400.339
他们需要具体的五百毫秒.
1404.4
这就是互联网之间的时间间隔.
1409.019
2024年3月,并使用单个加密密钥
1412.039
据说,这位未知的演员将会被
1415.059
解锁了地球上运行SSH的每个Linux服务器.
1418.079
零片将跟踪案件文件.
1422.24
案例文件不会关闭.
1424.579
它等着.
