Koexistenz von Professionalität und Amateurhaftigkeit: Dass die Angreifer über lange Zeit eine vertrauenswürdige Identität aufgebaut haben, Maintainer wichtiger Pakete wurden, mehrere Personen an der Social-Engineering-Attacke beteiligt waren, ihre echte Identität und den Ursprung des Angriffs verbargen und dabei ausgefeilte Techniken und Obfuskation einsetzten, wirkte professionell. Dass jedoch Bugs und Performance-Einbußen in Produktionsversionen auftauchten, wirkte eher amateurhaft.
Aufdeckung durch Performance-Einbußen: Trotz der Raffinesse des Angriffs wurde er wegen auffälliger Performance-Probleme entdeckt. Das erinnert an das Zitat, dass es unzählige Wege gibt, ein Verbrechen zu begehen und dabei erwischt zu werden, und man ein Genie sei, wenn man nur die Hälfte davon vorhersehen könne.
Analyse der obfuskierten Backdoor: Es braucht eine Analyse der Obfuskation der Backdoor selbst. Mithilfe von Ghidra wurde das Binärformat analysiert, aber da man mit dem ifunc-Mechanismus zum Abfangen der Ausführung nicht vertraut war, wurde die Analyse anderen überlassen. Da die Backdoor als verschlüsseltes Binärformat geliefert wurde, wird vermutet, dass Teile des Codes verschlüsselt waren.
Bereitstellung eines Alternativlinks: Als Alternative zu theaderapp.com wurde ein Link zu nitter.poast.org bereitgestellt.
Bedeutung der Entdeckung: Glücklicherweise wurde die Backdoor entdeckt, bevor sie sich weit verbreiten konnte. Es ist viel schlimmer, wenn alle Beteiligten Zugriff bekommen, als wenn nur eine Partei über RCE (Remote Code Execution) verfügt.
Fehlende Diskussion über die Angreifer: Auch wenn man den Fall nicht im Detail verfolgt hat, wirkt es seltsam, dass es überhaupt keine Diskussion über die Angreifer gibt.
Sorge über eine langfristige Strategie: Wenn die Angreifer Zeit investiert haben, um die „Infrastruktur“ für den Einbau einer Backdoor aufzubauen, dann hatten sie vermutlich vor, auch nach einem Angriff in freier Wildbahn langfristig weiterzuspielen. Es stellt sich die Frage, ob dieses Spiel noch immer läuft.
Bitte um Erklärung zu Performance-Tests: Es wurde nach einer guten Erklärung oder einem Einstiegsleitfaden zu den Performance-Tests gefragt, mit denen diese Backdoor entdeckt wurde, da man lernen möchte, wie Performance-Messung funktioniert.
Lob für den ursprünglichen Autor: Auch wenn es bisher niemand erwähnt hat, gilt dem ursprünglichen Autor dieses Beitrags großes Lob. Eine sehr beeindruckende Arbeit.
1 Kommentare
Hacker-News-Kommentare