Menurut Scott, akhirnya ia berpendapat bahwa tiga tahun perubahan kode dan email yang sopan kemungkinan tidak dihabiskan untuk merusak beberapa proyek perangkat lunak, tetapi sebaliknya untuk membangun sejarah kepercayaan sebagai persiapan untuk sabotase XZ Utils secara khusus—dan mungkin juga proyek-proyek lain di masa depan. “Dia hanya tidak pernah sampai pada langkah itu karena kami beruntung menemukan barang-barangnya,” kata Scott. “Jadi itu sudah terbongkar sekarang, dan dia harus kembali ke awal.”
Tik-tok Teknis dan Zona Waktu
Meskipun persona Jia Tan sebagai individu tunggal, persiapan bertahun-tahun mereka adalah ciri khas dari kelompok peretas yang disponsori negara yang terorganisir dengan baik, berpendapat Raiu, mantan peneliti utama Kaspersky. Demikian pula adalah ciri teknis kode berbahaya XZ Utils yang ditambahkan Jia Tan. Raiu mencatat bahwa, sekilas, kode itu benar-benar terlihat seperti alat kompresi. “Ditulis dengan cara yang sangat merusak,” katanya. Ini juga adalah backdoor “pasif”, kata Raiu, sehingga tidak akan mencapai server komando dan kontrol yang mungkin membantu mengidentifikasi operator backdoor. Sebaliknya, ia menunggu operator untuk terhubung ke mesin target melalui SSH dan mengautentikasi dengan kunci pribadi—yang dihasilkan dengan fungsi kriptografi yang sangat kuat yang dikenal sebagai ED448.
Desain hati-hati dari backdoor ini bisa menjadi karya peretas AS, catat Raiu, tetapi ia menyarankan itu tidak mungkin, karena AS biasanya tidak akan merusak proyek open source—dan jika melakukannya, Badan Keamanan Nasional kemungkinan besar akan menggunakan fungsi kriptografi tahan kuantum, yang bukan ED448. Itu meninggalkan kelompok non-AS dengan sejarah serangan rantai pasokan, Raiu menyarankan, seperti APT41 China, Kelompok Lazarus Korea Utara, dan APT29 Rusia.
Sekilas, Jia Tan jelas terlihat Asia Timur—atau dimaksudkan demikian. Zona waktu komitmen Jia Tan adalah UTC+8: Itu adalah zona waktu China, dan hanya terpaut satu jam dari Korea Utara. Namun, analisis oleh dua peneliti, Rhea Karty dan Simon Henniger, menyarankan bahwa Jia Tan mungkin hanya mengubah zona waktu komputernya menjadi UTC+8 sebelum setiap commit. Bahkan, beberapa commit dibuat dengan komputer yang diatur ke zona waktu Eropa Timur, mungkin ketika Jia Tan lupa untuk melakukan perubahan.
“Indikasi lain bahwa mereka bukan dari China adalah fakta bahwa mereka bekerja pada hari libur China yang terkenal,” kata Karty dan Henniger, mahasiswa di Dartmouth College dan Technical University of Munich, secara berturut-turut. Boehs, pengembangnya, menambahkan bahwa sebagian besar pekerjaan dimulai pukul 9 pagi dan berakhir pukul 5 sore untuk zona waktu Eropa Timur. “Rentang waktu commit menunjukkan ini bukanlah proyek yang mereka lakukan di luar jam kerja,” kata Boehs.
Semua petunjuk itu mengarah kembali ke Rusia, dan khususnya kelompok peretas APT29 Rusia, berpendapat Dave Aitel, mantan peretas NSA dan pendiri perusahaan keamanan siber Immunity. Aitel menunjukkan bahwa APT29—yang diyakini luas bekerja untuk agen intelijen luar negeri Rusia, yang dikenal sebagai SVR—memiliki reputasi untuk perhatian teknis yang sedikitnya diperlihatkan oleh kelompok peretas lainnya. APT29 juga melaksanakan kompromi Solar Winds, mungkin serangan rantai pasokan perangkat lunak yang paling terampil dan efektif dalam sejarah. Operasi itu sesuai dengan gaya backdoor XZ Utils jauh lebih dari pada serangan rantai pasokan yang lebih kasar dari APT41 atau Lazarus, sebagai perbandingan.
“Kemungkinan besar bisa jadi orang lain,” kata Aitel. “Tetapi maksud saya, jika Anda mencari serangan rantai pasokan yang paling canggih di planet ini, itu akan menjadi teman-teman terkasih kita di SVR.”
Peneliti keamanan setuju, setidaknya, bahwa tidak mungkin Jia Tan adalah orang sungguhan, atau bahkan satu orang yang bekerja sendirian. Sebaliknya, tampak jelas bahwa persona itu adalah perwujudan online dari taktik baru dari organisasi yang baru, terorganisir dengan baik—taktik yang hampir berhasil. Itu berarti kita seharusnya mengharapkan Jia Tan kembali dengan nama-nama lain: tampaknya penyumbang yang sopan dan antusias untuk proyek open source, menyembunyikan tujuan rahasia pemerintah dalam komit kode mereka.