Letztendlich argumentiert Scott, dass diese drei Jahre voller Codeänderungen und höflicher E-Mails wahrscheinlich nicht damit verbracht wurden, mehrere Softwareprojekte zu sabotieren, sondern dass sie vielmehr eine Geschichte der Glaubwürdigkeit aufgebaut haben, um sich speziell auf die Sabotage von XZ Utils – und möglicherweise auch anderer Projekte in der Zukunft – vorzubereiten. „Er hat diesen Schritt einfach nie geschafft, weil wir Glück hatten und seine Sachen gefunden haben“, sagt Scott. „Das ist also jetzt verbrannt und er muss wieder von vorne anfangen.“
Technische Ticks und Zeitzonen
Obwohl Jia Tan als Einzelperson auftritt, ist ihre jahrelange Vorbereitung ein Markenzeichen einer gut organisierten, staatlich geförderten Hackergruppe, argumentiert Raiu, der ehemalige leitende Forscher bei Kaspersky. Dies gilt auch für die technischen Merkmale des XZ Utils-Schadcodes, den Jia Tan hinzugefügt hat. Raiu stellt fest, dass der Code auf den ersten Blick wirklich wie ein Komprimierungstool aussieht. „Es ist sehr subversiv geschrieben“, sagt er. Laut Raiu handelt es sich außerdem um eine „passive“ Hintertür, die also nicht auf einen Command-and-Control-Server zugreifen würde, der dabei helfen könnte, den Betreiber der Hintertür zu identifizieren. Stattdessen wartet es darauf, dass der Bediener über SSH eine Verbindung zum Zielcomputer herstellt und sich mit einem privaten Schlüssel authentifiziert – einem Schlüssel, der mit einer besonders starken kryptografischen Funktion namens ED448 generiert wurde.
Das sorgfältige Design der Hintertür könnte das Werk von US-Hackern sein, bemerkt Raiu, aber er meint, das sei unwahrscheinlich, da die USA normalerweise keine Open-Source-Projekte sabotieren würden – und wenn ja, würde die National Security Agency wahrscheinlich eine quantenresistente Kryptographie verwenden Funktion, die ED448 nicht hat. Raiu schlägt vor, dass nicht-US-amerikanische Gruppen wie Chinas APT41, Nordkoreas Lazarus Group und Russlands APT29 auf eine Vorgeschichte von Angriffen auf die Lieferkette zurückblicken.
Auf den ersten Blick sieht Jia Tan auf jeden Fall ostasiatisch aus – oder soll es zumindest sein. Die Zeitzone von Jia Tans Commits ist UTC+8: Das ist die Zeitzone Chinas und nur eine Stunde von der Nordkoreas entfernt. Allerdings ein Analyse durch zwei Forscher, Rhea Karty und Simon Henniger, vermutet, dass Jia Tan vor jedem Commit einfach die Zeitzone ihres Computers auf UTC+8 geändert hat. Tatsächlich wurden mehrere Commits stattdessen mit einem Computer durchgeführt, der auf eine osteuropäische Zeitzone eingestellt war, vielleicht weil Jia Tan vergaß, die Änderung vorzunehmen.
„Ein weiterer Hinweis darauf, dass sie nicht aus China stammen, ist die Tatsache, dass sie an wichtigen chinesischen Feiertagen gearbeitet haben“, sagen Karty und Henniger, Studenten am Dartmouth College bzw. an der Technischen Universität München. Boehs, der Entwickler, fügt hinzu, dass ein Großteil der Arbeit um 9 Uhr morgens beginnt und um 17 Uhr endet (in osteuropäischen Zeitzonen). „Der Zeitraum der Commits lässt darauf schließen, dass es sich nicht um ein Projekt handelte, das sie außerhalb der Arbeit durchgeführt haben“, sagt Boehs.
Alle diese Hinweise führen auf Russland und insbesondere auf die russische Hackergruppe APT29 zurück, argumentiert Dave Aitel, ein ehemaliger NSA-Hacker und Gründer der Cybersicherheitsfirma Immunity. Aitel weist darauf hin, dass APT29 – von dem allgemein angenommen wird, dass er für den russischen Auslandsgeheimdienst SVR arbeitet – einen Ruf für technische Sorgfalt genießt, wie ihn nur wenige andere Hackergruppen an den Tag legen. APT29 führte auch den Solar Winds-Kompromiss durch, den vielleicht geschicktesten und effektivsten Angriff auf die Software-Lieferkette in der Geschichte. Im Vergleich dazu entspricht diese Operation weit mehr dem Stil der XZ Utils-Hintertür als die gröberen Supply-Chain-Angriffe von APT41 oder Lazarus.
„Es könnte durchaus jemand anderes sein“, sagt Aitel. „Aber ich meine, wenn Sie auf der Suche nach den raffiniertesten böswilligen Operationen auf dem Planeten sind, dann sind das unsere lieben Freunde beim SVR.“
Zumindest sind sich Sicherheitsforscher einig, dass es unwahrscheinlich ist, dass es sich bei Jia Tan um eine reale Person oder auch nur um eine allein arbeitende Person handelt. Stattdessen scheint klar zu sein, dass die Persona die Online-Verkörperung einer neuen Taktik einer neuen, gut organisierten Organisation war – eine Taktik, die beinahe funktioniert hätte. Das heißt, wir sollten damit rechnen, dass Jia Tan unter anderen Namen zurückkehren wird: scheinbar höfliche und enthusiastische Mitwirkende an Open-Source-Projekten, die in ihren Code-Commits die geheimen Absichten einer Regierung verbergen.