Coexistence de professionnalisme et d’amateurisme : le fait que les attaquants aient passé beaucoup de temps à se construire une identité crédible et à devenir mainteneurs de paquets importants, que plusieurs personnes aient participé à l’attaque par ingénierie sociale, qu’ils aient dissimulé leur véritable identité et l’origine de l’attaque, ainsi que le niveau de sophistication et les techniques d’obfuscation employées, tout cela relevait d’un travail professionnel. En revanche, le fait que des bugs et une dégradation des performances soient apparus en production avait quelque chose d’assez amateur.
Découverte à cause d’une baisse de performances : malgré la sophistication de l’attaque, la dégradation des performances était suffisamment visible pour permettre sa détection. Cela rappelle la citation selon laquelle il existe d’innombrables façons de commettre un crime et de se faire prendre, et que si l’on peut en imaginer seulement la moitié, on est déjà un génie.
Analyse de la backdoor obfusquée : il faut analyser l’obfuscation de la backdoor elle-même. Le binaire a été étudié avec Ghidra, mais comme le mécanisme ifunc qui intercepte l’exécution n’était pas familier, l’analyse a été laissée à d’autres. Comme la backdoor était fournie sous la forme d’un binaire chiffré, on suppose qu’une partie du code était chiffrée.
Proposition d’un lien alternatif : un lien vers nitter.poast.org a été fourni comme alternative à theaderapp.com.
Importance de la découverte : heureusement, la backdoor a été découverte avant de se propager largement. Il est bien pire que tout le monde puisse y avoir accès plutôt qu’une seule partie dispose d’une RCE (exécution de code à distance).
Absence de discussion sur les attaquants : sans avoir suivi cette affaire en détail, il semble étrange qu’il n’y ait pratiquement aucune discussion sur les attaquants.
Inquiétude sur une stratégie de long terme : puisque les attaquants semblent avoir passé du temps à mettre en place l’« infrastructure » nécessaire à la création de la backdoor, ils avaient probablement prévu de jouer sur le long terme, même après le déploiement de l’attaque dans la nature. On se demande si ce jeu est encore en cours aujourd’hui.
Demande d’explication sur les tests de performance : quelqu’un demande s’il existe une bonne explication ou une introduction aux tests de performance qui ont permis de découvrir cette backdoor, car il souhaite apprendre à mesurer les performances.
Éloges pour l’auteur original : personne ne l’a encore mentionné, mais l’auteur original de ce texte mérite de grands éloges. C’est un travail très impressionnant.
1 commentaires
Réactions sur Hacker News