分析发现xz后门黑客可能生活在东欧 但试图冒充中国用户发起攻击
分析发现xz后门黑客可能生活在东欧但试图冒充中国用户发起攻击现在已经有不少开源社区成员在分析xz后门中的黑客JiaTan的真实身份,尽管想要真正追查到他的真实身份很难,不过现在已经有推测表明JiaTan可能是一个生活在东欧的黑客,并且他还故意冒充东八区的用户(该时区包括中国全部地区、俄罗斯/马来西亚/新加坡/澳大利亚部分或全部区域)开源社区成员RHEA对JiaTan的GitHub提交记录进行分析,主要观察他是在哪些时间进行活动的,需要注意的是提交时间是可以修改的,前提是你每次操作时都修改时间,这是一个比较难坚持的事情,毕竟比较麻烦。冒充东八区用户:一般来说黑客的工作时间集中在下午或深夜比较合理,毕竟很少有人愿意早晨五点就起来干活(尽管早睡早起也确实是个好习惯)。JiaTan这名字听起来就像是东亚人,而他的Github大部分提交都带有UTC+8时间戳,也就是东八区用户,东八区用户配合亚洲名字,那么想要冒充谁其实已经很明显。然而黑客显然不会使用自己的真实名字,所以这招祸水东引本身就存在漏洞,所以每次提交都修改时区为东八区似乎有助于提高可信度。有几次忘记修改时区:正如前面提到的每次修改系统时区其实是个很麻烦的事情,毕竟一年提交那么多次代码每次修改会让人无比烦躁。因此分析就发现在UTC+2和UTC+3时区分别有过3次和6次调提交,这与UTC+8的440次提交来说显得很少,但却是个关键证据。毕竟如果真是生活在东八区,那为什么有几次要修改成UTC+2或者UTC+3呢?要么他是去东欧旅游了,顺手在那里写的代码并提交。那旅游这事河里嘛?也不河里,因为有两次提交时区发生变更,但中途有11个小时的时间差,也就是说他在UTC+3提交代码后立即飞往UTC+8,但这两个时区之间的飞机通常要10~12个小时的飞行时长,这还是直达的情况下,如果考虑中转时间会更长,因此这看起来并不合理。还有一次提交时UTC+3和UTC+8只差几分钟,马斯克的星舰也没这么快,所以必然有一个时区是造假的。然而谁会在逢年过节还继续干活呢?在分析中有个很有趣的现象引起RHEA的关注,那就是他对比了中国2023年的节假日,发现JiaTan竟然在中国农历新年以及中秋节等假期提交代码。倒不是说不能在法定节假日期间继续干活并提交代码,但RHEA发现这名黑客在东欧假期(UTC+2和UTC+3都包括部分东欧国家)的时候却没有提交代码。东欧假期与中国的法定节假日并不重叠,在中国节假日期间提交代码而在东欧节假日却没有提交代码,因此从代码提交时间来看,JiaTan的工作安排和假期更适合东欧人,而不是东亚或东南亚地区的人。另一方面,JiaTan的主要工作时间是周二、周三、周四和周五,如果他是个业余爱好者那有自己的工作,不可能工作日还如此活跃的提交代码。除非他是受雇于人,也就是这就是他的主要工作,所以周六、周日都是休息的,至于周一,想必全世界打工人都一样,刚刚过了周末周一脑袋不够清醒不是很想干活吧。基于我们可以初步认为JiaTan很有可能是生活在东欧的人,而发起攻击就是他的主要工作,使用东亚名称和修改UTC+8就是想要规避追踪,不过打工人偶尔偷懒也是正常的,所以总有几次提交泄露了他所在的真实时区。...PC版:https://www.cnbeta.com.tw/articles/soft/1425890.htm手机版:https://m.cnbeta.com.tw/view/1425890.htm