Wadukuzi wa Korea Kaskazini waliteka Axios katika shambulio la mnyororo wa usambazaji lililochukua wiki kadhaa kusanidiwa
Mradi unaotumika sana uligeuka kuwa chanzo cha shambulio la mtandaoni
Operesheni ya mtandaoni ya Korea Kaskazini iliiteka Axios kwa muda mfupi, moja ya miradi ya chanzo huria inayotumika sana kwenye wavuti, katika shambulio la Machi 31 lililoonekana kuwa limeandaliwa kwa wiki kadhaa. Uharibifu huo unasisitiza jinsi wadukuzi wanaoungwa mkono na serikali wanavyozidi kulenga miundombinu ya programu inayoaminika, ambapo uvunjaji mmoja unaweza kuenea katika maelfu ya mifumo.
Axios ni maktaba maarufu ya JavaScript inayotumiwa na watengenezaji programu kuunganisha programu kwenye intaneti. Kwa sababu inapatikana ndani ya miundo mingi ya programu, uharibifu wa mradi unaweza kuwa na matokeo makubwa zaidi ya mradi wenyewe. Katika kesi hii, masasisho mabaya yalikuwa hewani kwa takriban saa tatu tu kabla ya kuondolewa, lakini dirisha hilo bado linaweza kuwa limetosha kuambukiza maelfu ya mifumo.
Shambulio hilo liliandikwa katika ripoti ya uchunguzi wa baada ya tukio na Jason Saayman, ambaye anasimamia mradi huo na kuweka wazi ratiba ya uharibifu. Kulingana na Saayman, wadukuzi walianza kumlenga takriban wiki mbili kabla hawajapata udhibiti wa kompyuta yake na kuitumia kuchapisha msimbo mbaya.
Utapeli wa muda mrefu uliojengwa juu ya imani
Operesheni hiyo haikutegemea nguvu nyingi bali uvumilivu. Saayman alisema wadukuzi walijifanya kuwa kampuni halisi, waliunda nafasi ya kazi ya Slack yenye kuaminika, na kuijaza na wasifu bandia wa wafanyakazi ili kufanya udanganyifu uonekane halali. Kisha walimwalika kwenye mkutano wa mtandaoni uliomshawishi kupakua programu hasidi iliyojificha kama sasisho linalohitajika kujiunga na simu.
Saayman alisema mtego huo uliendana na mbinu iliyohusishwa hapo awali na wadukuzi wa Korea Kaskazini na kutambuliwa na watafiti wa usalama wa Google: njia ya uhandisi wa kijamii inayowashawishi walengwa kusakinisha programu inayowapa wadukuzi ufikiaji wa mbali. Katika kesi hii, ufikiaji huo unaonekana kuwa ufunguo wa kusukuma matoleo mabaya ya Axios.
Tukio hilo linaonyesha kwa nini wasimamizi wa chanzo huria wamekuwa walengwa wa thamani kubwa. Miradi maarufu mara nyingi husimamiwa na timu ndogo au hata msanidi programu mmoja, lakini inaweza kupachikwa katika programu na huduma nyingi zisizohesabika. Hiyo inafanya vifaa vya kibinafsi vya wasimamizi kuwa sehemu ya kuvutia ya kuingilia kwa wadukuzi wanaotaka kuathiri programu kwa kiwango kikubwa.
Hatari inaenea mbali zaidi ya mradi mmoja
Linda faragha yako na Doppler VPN
Majaribio ya bure ya siku 3. Bila usajili. Bila kumbukumbu.
Vifurushi vibaya vya Axios viliondolewa haraka, lakini si kabla ya kupata fursa ya kuenea. Mfumo wowote uliosakinisha mojawapo ya matoleo yaliyoathirika wakati wa dirisha fupi la kufichuliwa unaweza kuwa umekabiliwa na hatari ya wizi wa funguo za faragha, vitambulisho, na nywila zilizohifadhiwa kwenye mashine hiyo. Siri hizo zilizoibiwa zinaweza kutumika kuingia ndani zaidi katika mifumo na huduma zingine, kubadilisha tukio la mnyororo wa usambazaji wa programu kuwa uvunjaji mpana zaidi.
Uwezekano huo ndio unaofanya aina hii ya shambulio kuwa na wasiwasi sana. Mwathirika wa haraka anaweza kuwa kompyuta ya mkononi ya msanidi programu au hazina moja ya vifurushi, lakini lengo la mwisho linaweza kuwa pana zaidi: watumiaji na mashirika yanayoamini mradi huo kama sehemu ya mrundikano wao wa programu.
Tukio la Axios pia linaendana na muundo mpana zaidi. Wadukuzi wa Korea Kaskazini wanabaki kuwa miongoni mwa vitisho vya mtandaoni vinavyofanya kazi zaidi kwenye intaneti, na wamekuwa wakihusishwa mara kwa mara na operesheni zinazochanganya uhandisi wa kijamii, wizi wa vitambulisho, na programu hasidi za ufikiaji wa mbali. Kampeni zao mara nyingi hufifisha mstari kati ya ujasusi na uhalifu unaochochewa kifedha, huku wizi wa sarafu za kidijitali mara nyingi ukiwa sehemu ya mchanganyiko.
Mbinu inayojulikana, onyo kubwa zaidi
Kinachofanya uharibifu huu wa hivi karibuni ujitokeze si tu lengo, bali jinsi ulivyofanyika kwa utaratibu. Wadukuzi hawakutumia tu udhaifu wa kiufundi katika msimbo wa mradi. Waliwekeza muda katika kujenga utambulisho unaoaminika, kupata imani ya msimamizi, na hatimaye kupata ufikiaji wa mashine iliyotumiwa kuchapisha masasisho rasmi.
Njia hiyo inaangazia ukweli mgumu kwa mifumo ikolojia ya chanzo huria: usalama wa programu inayotumika sana hautegemei tu ukaguzi wa msimbo na ufuatiliaji wa vifurushi, bali pia kwenye ulinzi wa kibinafsi wa watu wanaosimamia msimbo. Kadiri wadukuzi wanaofadhiliwa na serikali na vikundi vya wahalifu wanavyoendelea kuwalenga wasimamizi hao, mnyororo wa usambazaji wenyewe unakuwa mstari wa mbele katika migogoro ya mtandaoni.
Saayman hakujibu mara moja maswali ya ziada kuhusu tukio hilo. Upeo kamili wa uharibifu bado unatathminiwa, lakini somo tayari liko wazi: programu inayoaminika inapotezwa, eneo la athari linaweza kuenea mbali zaidi ya mradi uliovunjwa.
Vyanzo: