In einer kleinen, selten gelesenen Mailingliste zu einem wenig beachteten Linux-Software-Werkzeug namens XZ Utils wurde ein Nutzer namens „Dennis Ens“ langsam ungeduldig.
„Gibt es hier Updates?“, schrieb er im Mai 2022, und wenig später: „Wie sind die Pläne für die Zukunft?“ Adressat seiner drängenden Mails ist der Programmierer Lasse Collin, der das Software-Werkzeug XZ Utils in seiner Freizeit betreut und den Programmcode aktuell hält.
Dennis Ens ist nicht zufrieden mit der Arbeit von Lasse Collin, er baut subtil Druck auf: „Warum gibst Du nicht die Aufsicht über XZ ab?“, fragt er Ende Juni 2022 in weiteren E-Mails. Ens ist nicht der einzige unzufriedene Nutzer.
Anfang Juni 2022 kritisiert ein weiterer Nutzer namens „Jigar Kumar“ ebenfalls öffentlich Collin. „Es wird keinen Fortschritt geben, bis es einen neuen Betreuer gibt.“
Beide setzen Collin so lange unter Druck, bis dieser einige Monate später nachgibt: Er berechtigt einen dritten Programmierer namens „Jia Tan“ dazu, an seinen XZ-Utils-Änderungen vorzunehmen – ganz ohne seine Aufsicht. „Ens“, „Kumar“ und vor allem „Tan“ sind am Ziel.
Sie haben gemeinsam durch sogenanntes Social Engineering, durch geschickte Interaktionen und psychologischen Druck auf eine vulnerable Schlüsselperson, einen Meilenstein in einem langfristig angelegten Hackerangriff erreicht. Gelingt ihr Plan, könnten sie, so schätzen Experten zwei Jahre später die Tragweite des Angriffs ein, eine Art „Generalschlüssel zum Internet“ ergaunern.
Linux-Programmierer kommen in die Jahre
Die XZ Utils sind nur einer von vielen kleinen Programmbausteinen, die das Betriebssystem Linux ausmachen. Linux ist das erfolgreichste Open-Source-Softwareprojekt der Welt, es dient als Basis für Milliarden Internet-Geräte auf der Welt.
Doch Linux ist in seinen Grundfesten ebenfalls immer noch ein Projekt, das seit 1992 durch die Kooperation vieler begeisterter freiwilliger Programmierer ins Leben gerufen wurde. Sie alle haben über Jahre all die kleinen Code-Bausteine und Werkzeuge beigetragen, durch die ein Betriebssystem überhaupt erst zum Leben erweckt wird.
In den 90er- und 2000er-Jahren waren viele von ihnen jung, hatten viel freie Zeit, brachten den notwendigen Enthusiasmus mit. Doch inzwischen stehen sie an einem anderen Punkt in ihrem Leben und die Verantwortung, die sie noch immer für ihre Beiträge zu Linux tragen, wird für manche zur Last.
Die Sicherheit der wichtigsten Software der Welt hängt davon ab, dass einige wenige alternde Programmierer weiter Lust auf ihr zwanzig Jahre altes Hobby haben. „Dennis Ens“, „Jugar Kumar“ und „Jia Tan“ haben Lasse Collin und seine XZ Utils nicht zufällig ins Visier genommen.
Zum einen hatte Collin 2022 in der Mailingliste bereits öffentlich eingestanden, dass persönliche Probleme ihn davon abhalten, die XZ Utils weiterzuentwickeln. Zum anderen spielen die XZ Utils eine wenig beachtete Schlüsselrolle für die Integrität von Linux-Installationen.
Das Software-Werkzeug dient dazu, Dateien für die Übertragung auf einen neuen Rechner zu komprimieren, wird von vielen weiteren Linux-Softwareprojekten integriert. Unter anderem verwendet auch die Linux-Fernsteuersoftware SSH das Kompressionswerkzeug.
SSH wird weltweit von Administratoren dafür verwendet, Linux-Server fernzusteuern. Dementsprechend streng wird der Programmcode von SSH auf Sicherheitslücken hin geprüft, jede Änderung wird von Sicherheitsexperten weltweit mit Argusaugen betrachtet.
Attacke auf die Sicherheit von SSH
Doch was, wenn man den SSH-Code indirekt beeinflussen kann? SSH greift bei jedem Start auf den XZ-Programmcode zu. Über die XZ Utils kann also eine Sicherheitslücke in der Fernsteuersoftware geöffnet werden. Das war „Ens“, „Kumar“ und „Tan“ bereits seit 2021 bewusst, zu diesem Zeitpunkt tauchen die augenscheinlichen Tarn-Namen erstmals im Netz auf.
Dem Rest der Linux-Welt ist es erst an diesem Osterwochenende aufgefallen, da ausgerechnet ein einzelner Microsoft-Angestellter über jedes erwartbare Maß hinaus aufmerksam und misstrauisch war. Er ist der Held in dieser Hacker-Geschichte, Collin ist das tragische Opfer – und „Ens“, „Kumar“ und „Tan“ sind die Täter.
„Wäre der Angriff nicht aufgefallen, die Täter hätten eine Art Generalschlüssel zur Fernsteuerung von Linux-Servern geschaffen“, kommentiert Rüdiger Trost von der IT-Sicherheitsfirma WithSecure. „Ich halte das Problem generell für groß, denn was man hier sieht, ist, dass eine solche Supply-Chain-Attacke funktioniert. Viele essenzielle Tools, wie hier SSH, greifen auf bestehende Programme zurück. Wird so etwas unterwandert, dann fällt das ganze Kartenhaus in sich zusammen.“
Trost schätzt, dass es noch Hunderte weitere Software-Werkzeuge wie die XZ-Tools gibt – kleine Projekte, die eine immens wichtige Rolle für den sicheren Zusammenhalt des Internets spielen und die verwundbar sind. „Diese Art von Sicherheitsproblemen sind die dunkle Seite des großen Open-Source-Erfolgs Linux.“
Welch langfristiges Spiel die Angreifer spielten, zeigen ihre Spuren im Netz. Der Sicherheitsexperte und Programmierer Evan Boehs hat digitale Forensik betrieben und in seinem Blog Hinweise gesammelt. Demnach hat „Tan“ bereits 2021 einen ersten Nutzeraccount auf der Open Source-Programmierplattform „GitHub“ angelegt und dann damit begonnen, durch Beiträge zu den XZ Utils das Vertrauen von Lasse Collin zu erwerben.
Er musste wie der ideale Erbe für die drückende Verantwortung erscheinen. Im Januar 2023 hat „Tan“ sein Ziel erreicht – er darf erstmals selbstständig Änderungen an den XZ Utils vornehmen, und versteckt in einer davon über einen technischen Trick eine Hintertür, die von einem vierten Programmierer mit dem Nutzernamen „Hans Jansen“ geschrieben wurde.
Manipulierter Code war in Beta-Versionen von Linux-Distributionen
Im Februar 2024 macht „Tan“ den manipulierten Programmcode für alle Linux-Distributoren öffentlich. Wenn seine Version der XZ Utils in die diversen öffentlichen Linux-Versionen wie Debian, RedHat oder Ubuntu übernommen wird, ist er am Ziel: Jeder Linux-Computer, der das entsprechende Update installiert, wird angreifbar.
Im März 2024 entscheiden sich die Manager diverser Linux-Projekte wie etwa OpenSuSe und Debian sich dafür, das Werkzeug mit der Sicherheitslücke zunächst in die Beta-Versionen ihrer Linux-Ausgaben einzufügen, „Tan“ ist nach jahrelanger Arbeit kurz davor, den Hacker-Hauptgewinn zu ziehen.
Doch in den Büros von Microsoft ist ein Linux-Experte aufmerksam genug, eine winzige Änderung zu bemerken: Dem deutschen Programmierer Andres Freund fällt auf, dass sein Computer neuerdings eine halbe Sekunde (!) länger dafür benötigt, bestimmte SSH-Befehle auszuführen.
Er macht sich auf die Suche nach der Ursache für diese CPU-Zeitverschwendung, entdeckt die Ursache und macht sie öffentlich. Prompt stürzen sich über Ostern Sicherheitsexperten weltweit auf das Problem, kategorisieren es als Lücke der höchstmöglichen Stufe 10 und warnen vor der Hintertür. „Jia Tan“ und seine Freunde sind im allerletzten Augenblick gescheitert.
„Das war wirklich knapp, vor allem da es im Nachhinein so gut wie unmöglich ist, herauszufinden, ob diese Hintertür bereits genutzt wurde“, kommentiert Trost. Er ist sich angesichts der jahrelangen Geduld und raffinierten Vorgehensweise der Angreifer sicher: „Bei dem aktuellen Fall müssen wir auch die Frage stellen, wer sich die Mühe macht über Jahre hinweg eine solche Hintertür vorzubereiten. Dahinter einen Geheimdienst zu vermuten, ist für mich plausibel. Tan und seine Mittäter arbeiten für einen staatlichen Akteur.“ Für Russland etwa, für China oder Nordkorea.
Dieses Mal sind die Hacker gescheitert. Doch wie viele weitere Lasse Collins, wie viele weitere XZ Utils sind in dem riesigen Programmcode-Konvolut namens Linux verborgen? „Nur weil man Lücken in einem Quellcode finden kann, heißt es nicht, dass immer auch jemand danach sucht“, kommentiert Trost.
Der Internetkonzern Google kam vor zwei Jahren zu einem ähnlichen Ergebnis. Er startete ein eigenes Sicherheitsprojekt zur Prüfung und Absicherung von essenziellen Open-Source-Projekten.
Doch auch Googles Ressourcen sind endlich – und welche Open-Source-Programme wirklich essenziell sind, das zeigt sich, siehe der aktuelle Fall, oft erst im Nachhinein. Google hat bislang keine Ergebnisse seines Projekts öffentlich gemacht.
Experte Trost ist sich sicher: „Der Fall XZ Utils wird nicht der Einzige bleiben. Und wir werden nicht immer so viel Glück haben wie dieses Mal.“
