Convivência entre profissionalismo e amadorismo: o fato de os atacantes terem dedicado muito tempo para construir identidades confiáveis e se tornarem mantenedores de um pacote importante, de várias pessoas terem participado do ataque de engenharia social, de terem ocultado as identidades reais e a origem do ataque, além da sofisticação e das técnicas de ofuscação usadas, foi profissional. No entanto, o fato de bugs e degradação de desempenho terem aparecido na versão de produção parece um tanto amador.
Descoberta por causa da degradação de desempenho: apesar da sofisticação do ataque, a queda de desempenho foi perceptível e levou à descoberta. Isso relembra a citação de que existem inúmeras maneiras de cometer um crime e ser pego, e que, se você conseguir pensar em apenas metade delas, já é um gênio.
Análise do backdoor ofuscado: é necessária uma análise da própria ofuscação do backdoor. O binário foi analisado com Ghidra, mas, como não havia familiaridade com o mecanismo ifunc que intercepta a execução, a análise foi deixada para outras pessoas. Como o backdoor foi fornecido como um binário criptografado, presume-se que parte do código também tenha sido criptografada.
Fornecimento de link alternativo: foi fornecido um link do nitter.poast.org como alternativa ao theaderapp.com.
Importância da descoberta: foi uma sorte que o backdoor tenha sido descoberto antes de se espalhar amplamente. É muito pior quando todas as partes podem ter acesso do que quando apenas uma parte tem RCE (execução remota de código).
Ausência de discussão sobre os atacantes: embora não tenha acompanhado esse caso em detalhes, parece estranho que não haja absolutamente nenhuma discussão sobre os atacantes.
Preocupação com a estratégia de longo prazo: assim como os atacantes investiram tempo para construir a “infraestrutura” necessária para criar o backdoor, é provável que estivessem planejando jogar no longo prazo mesmo depois de o ataque ser usado em ambiente real. Fica a dúvida se esse jogo ainda está em andamento.
Pedido de explicação sobre testes de desempenho: há um pedido por uma boa explicação ou material introdutório sobre os testes de desempenho usados para descobrir esse backdoor, para aprender como medir desempenho.
Elogio ao autor original: ninguém mencionou isso ainda, mas fica um grande elogio ao autor original deste texto. Foi um trabalho muito impressionante.
1 comentários
Opiniões do Hacker News
ifuncque intercepta a execução, a análise foi deixada para outras pessoas. Como o backdoor foi fornecido como um binário criptografado, presume-se que parte do código também tenha sido criptografada.