AnswersPublished17 hours agoLast edited 17 hours ago18 sources

Operace Highland: Jak se čínští hackeři proměnili v samotné přihlašovací okno

Vyšetřování Sygnia ukázalo, že čínská skupina Velvet Ant se skrývala v citlivé, od internetu odpojené síti téměř deset let tím, že nahradila linuxové moduly pam unix.so a binárky OpenSSH. Standardní reakce jako mazání souborů, ukončování procesů a změna hesel byly zcela neúčinné, protože podvržené soubory vypadaly n...

Search & fact-check with Studio Global AI Browse more Trending pages

17K0

Abstract visualization of Linux authentication stack being backdoored by Velvet Ant's Operation Highland campaign — What did Sygnia's forensic investigation of "Operation Highland" reveal about how the China-linked threat group Velvet Ant compromised and mVelvet Ant’s Operation Highland campaign subverted the Linux login system itself — replacing core authentication binaries to maintain access for nearly a decade. Image generated by AI.
AI Prompt
Create a landscape editorial hero image for this Studio Global article: What did Sygnia's forensic investigation of "Operation Highland" reveal about how the China-linked threat group Velvet Ant compromised and m. Article summary: ## Sygnia's "Operation Highland" Findings on Velvet Ant. Topic tags: general, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "Discover the detailed forensic investigation by Sygnia into the sophisticated cyber attack by Velvet Ant on a major organization. The investigation confirmed the threat actor maint" source context "China-Nexus Threat Group 'Velvet Ant' Abuses F5 Load Balancers ..." Reference image 2: visual subject "Velvet Ant Activity Detection: China-Backed Cyber-Espionage Group Launches a Prolonged Attack Using Malware Deployed on the F5 BIG-IP Devices. The China-linked cyber-espionage gr
openai.com

Bezpečnostní společnost Sygnia zveřejnila výsledky vyšetřování pojmenovaného Operace Highland, které odhaluje jednu z nejdisciplinovanějších a nejdéle trvajících kyberšpionážních kampaní poslední doby. Aktivita je s vysokou mírou jistoty připisována čínské skupině, kterou Sygnia sleduje pod jménem Velvet Ant. Tato operace není založena na žádné převratné zero-day zranitelnosti. Její podstata je až nebezpečně prostá: zabydlet se přímo v softwaru, který rozhoduje o tom, kdo se smí přihlásit.

Jak probíhala desetiletá infiltrace

Síť oběti neměla přímé připojení k internetu a nacházely se v ní vysoce citlivé systémy. Forenzní časová osa firmy Sygnia ukazuje, že útočníci získali opěrný bod nejpozději v roce 2016, což skupině poskytlo takřka desetiletý čas "pobytu" uvnitř prostředí .

Počáteční přístup. K průniku pravděpodobně došlo prostřednictvím zastaralého, internetu vystaveného zařízení F5 BIG-IP, které organizace nevyřadila z provozu a neaktualizovala. Jakmile útočníci toto zařízení ovládli, použili jej jako odrazový můstek k postupu hlouběji do sítě – až se dostali do od internetu odpojeného vnitřního segmentu .

Jak zadní vrátka fungovala

Místo nasazování malwaru na míru, který by skenery souborů nebo endpointové ochrany mohly časem odhalit, skupina Velvet Ant podvrátila vlastní mechanismus důvěry operačního systému. Na desítkách počítačů systematicky nahradila základní linuxové autentizační komponenty – konkrétně zásuvný autentizační modul (který ověřuje hesla) a několik binárních souborů OpenSSH – jejich trojanizovanými verzemi .

Studio Global AI

Search, cite, and publish your own answer

Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.

Operační vzorec	Pozorované chování
Počáteční průnik přes síťový okraj	Zneužívá nezabezpečená firemní zařízení – zejména F5 BIG-IP a přepínače Cisco Nexus – vystavená do internetu jako předmostí do vnitřních sítí .
Autentizační podvracení jako primární implantát	Vyhýbá se nasazování běžných trojských koní pro vzdálený přístup (RAT) na koncové stanice a místo toho nahrazuje komponenty ověřující přihlášení uživatelů napříč linuxovou flotilou .
Redundantní síť perzistence	Udržuje více opěrných bodů napříč různými segmenty sítě, takže ztráta jednoho přístupového bodu – nebo dokonce celého zařízení – operaci neukončí .
Využívání legitimních nástrojů	Pohybuje se laterálně pomocí odcizených přihlašovacích údajů a standardních administrátorských nástrojů, jako je SSH, takže zanechává minimum vlastních signatur pro detekční nástroje .
Průmyslové získávání přihlašovacích údajů	Zaznamenává hesla v čitelné podobě z každého úspěšného přihlášení v síti, čímž neustále shromažďuje platné identity bez dalšího síťového šumu .
Extrémní doba setrvání	Operuje v řádu let, nikoli dnů nebo týdnů. Toto pomalé tempo znamená, že krátká retenční okna logů a běžná údržba systému mohou forenzní stopy vymazat .

Operace Highland: Jak se čínští hackeři proměnili v samotné přihlašovací okno

Jak probíhala desetiletá infiltrace

Jak zadní vrátka fungovala

Search, cite, and publish your own answer

People also ask

What is the short answer to "Operace Highland: Jak se čínští hackeři proměnili v samotné přihlašovací okno"?

What are the key points to validate first?

What should I do next in practice?

Sources

Comments

Proč standardní postupy selhaly

Charakteristické vzorce činnosti

Atribuce a související aktivity

Co by měli obránci udělat nyní