في النهاية، يرى سكوت أن تلك السنوات الثلاث من تغييرات التعليمات البرمجية ورسائل البريد الإلكتروني المهذبة لم يتم إنفاقها على الأرجح في تخريب مشاريع برمجية متعددة، بل في بناء تاريخ من المصداقية استعدادًا لتخريب XZ Utils على وجه التحديد – وربما مشاريع أخرى في المستقبل. يقول سكوت: “لم يصل إلى هذه الخطوة أبدًا لأننا كنا محظوظين وعثرنا على أغراضه”. “لقد احترق الآن، وسيتعين عليه العودة إلى المربع الأول.”
العلامات الفنية والمناطق الزمنية
وعلى الرغم من شخصية جيا تان كفرد منفرد، فإن إعداده على مدار سنوات هو السمة المميزة لمجموعة قرصنة جيدة التنظيم ترعاها الدولة، كما يقول رايو، الباحث الرئيسي السابق في كاسبرسكي. وكذلك هي السمات الفنية المميزة للشفرة الخبيثة XZ Utils التي أضافها جيا تان. ويشير رايو إلى أن الكود، للوهلة الأولى، يبدو حقًا كأداة ضغط. ويقول: “إنها مكتوبة بطريقة تخريبية للغاية”. ويقول رايو إنه أيضًا باب خلفي “سلبي”، لذا فهو لن يصل إلى خادم القيادة والتحكم الذي قد يساعد في تحديد مشغل الباب الخلفي. وبدلاً من ذلك، فإنه ينتظر اتصال المشغل بالجهاز المستهدف عبر SSH والمصادقة باستخدام مفتاح خاص، وهو مفتاح يتم إنشاؤه باستخدام وظيفة تشفير قوية بشكل خاص تُعرف باسم ED448.
يشير رايو إلى أن التصميم الدقيق للباب الخلفي يمكن أن يكون من عمل قراصنة أمريكيين، لكنه يشير إلى أن هذا غير مرجح، لأن الولايات المتحدة لا تقوم عادةً بتخريب المشاريع مفتوحة المصدر – وإذا فعلت ذلك، فمن المحتمل أن تستخدم وكالة الأمن القومي وظيفة تشفير مقاومة للكم. ، وهو ليس ED448. ويشير رايو إلى أن هذا يترك للمجموعات غير الأمريكية تاريخًا من الهجمات على سلسلة التوريد، مثل APT41 الصينية، ومجموعة Lazarus Group الكورية الشمالية، وAPT29 الروسية.
للوهلة الأولى، يبدو جيا تان بالتأكيد شرق آسيويًا – أو من المفترض أن يكون كذلك. المنطقة الزمنية لالتزامات جيا تان هي UTC+8: هذه هي المنطقة الزمنية للصين، وتبعد ساعة واحدة فقط عن المنطقة الزمنية لكوريا الشمالية. ومع ذلك، يشير تحليل أجراه باحثان، ريا كارتي وسيمون هينيجر، إلى أن جيا تان ربما قام ببساطة بتغيير المنطقة الزمنية لجهاز الكمبيوتر الخاص بهم إلى UTC+8 قبل كل التزام. في الواقع، تم إجراء العديد من الالتزامات باستخدام جهاز كمبيوتر تم ضبطه على منطقة زمنية في أوروبا الشرقية بدلاً من ذلك، ربما عندما نسي جيا تان إجراء التغيير.
يقول كارتي وهينيغر، الطالبان في كلية دارتموث وجامعة ميونيخ التقنية، على التوالي: “المؤشر الآخر على أنهما ليسا من الصين هو حقيقة أنهما عملا في أيام العطلات الصينية البارزة”. ويضيف المطور Boehs أن الكثير من العمل يبدأ في الساعة 9 صباحًا وينتهي في الساعة 5 مساءً بالنسبة للمناطق الزمنية لأوروبا الشرقية. يقول بوهس: “يشير النطاق الزمني للالتزامات إلى أن هذا لم يكن مشروعًا قاموا به خارج نطاق العمل”.
كل هذه القرائن تقودنا إلى روسيا، وتحديدًا مجموعة القرصنة الروسية APT29، كما يقول ديف آيتل، وهو قرصان سابق في وكالة الأمن القومي ومؤسس شركة الأمن السيبراني Immunity. ويشير آيتيل إلى أن APT29، التي يُعتقد على نطاق واسع أنها تعمل لصالح وكالة الاستخبارات الخارجية الروسية المعروفة باسم SVR، تتمتع بسمعة جيدة في مجال الرعاية الفنية من النوع الذي لا تظهره سوى القليل من مجموعات القرصنة الأخرى. نفذت APT29 أيضًا اختراق Solar Winds، والذي ربما يكون الهجوم الأكثر تنسيقًا وفعالية على سلسلة توريد البرامج في التاريخ. تتطابق هذه العملية مع أسلوب الباب الخلفي XZ Utils أكثر بكثير من هجمات سلسلة التوريد الأكثر بدائية من APT41 أو Lazarus، على سبيل المقارنة.
يقول آيتل: “من الممكن أن يكون شخصًا آخر”. “لكنني أعني، إذا كنت تبحث عن العمليات الخبيثة الأكثر تعقيدًا على هذا الكوكب، فسيكون هؤلاء هم أصدقاؤنا الأعزاء في SVR.”
يتفق الباحثون الأمنيون، على الأقل، على أنه من غير المرجح أن يكون جيا تان شخصًا حقيقيًا، أو حتى شخصًا واحدًا يعمل بمفرده. وبدلاً من ذلك، يبدو من الواضح أن الشخصية كانت تجسيدًا عبر الإنترنت لتكتيك جديد من منظمة جديدة جيدة التنظيم، وهو تكتيك كاد أن ينجح. وهذا يعني أننا يجب أن نتوقع عودة جيا تان بأسماء أخرى: مساهمون مهذبون ومتحمسون على ما يبدو في المشاريع مفتوحة المصدر، يخفون نوايا الحكومة السرية في التزاماتهم البرمجية.
