Operation Highland: Sådan gemte kinesisk hackergruppe sig i Linux-login i et helt årti

Sådan fungerede bagdøren

I stedet for at plante specialudviklet malware, som filscannere eller endpoint-beskyttelse måske ville opdage, omgik Velvet Ant styresystemets egen tillidsarkitektur. På tværs af snesevis af værter erstattede gruppen systematisk centrale Linux-autentificeringskomponenter – specifikt pam_unix.so-modulet og flere OpenSSH-binærfiler – med trojanske versioner .

Denne udskiftning gav to kapaciteter fra ét implantat:

1. Masteradgangskode. De manipulerede moduler indeholdt en hårdkodet, hemmelig adgangskode. Enhver brugerkonto kunne tilgås med denne kode alene, hvilket fuldstændig omgik normal autentificering. Selv hvis administratorer roterede alle brugeroplysninger, kunne angriberne stadig gå direkte ind ad hoveddøren .
2. Usynlig høst af adgangskoder. Ethvert legitimt login blev fanget i realtid. Brugernes adgangskoder i klartekst blev skrevet til en skjult fil placeret på /usr/share/awk/nullfile.awk. Det lod Velvet Ant indsamle gyldige legitimationsoplysninger på tværs af hele brugerbasen uden at skabe støj .

Hvorfor standardoprydning slog fejl

Traditionelle incident response-procedurer er ikke bygget til en fjende, der har genkompileret styresystemets login-binærfiler. Sygnias rapport gør det klart, hvorfor de første forsøg på oprydning mislykkedes:

• Renhedsblindhed. Standardarbejdsgangen – fjern mistænkelige filer, dræb ondsindede processer, roter adgangskoder – havde nul effekt på angriberens primære persistensmekanisme. De trojanske pam_unix.so og SSH-binærfiler var legitime systemfiler på alle måder undtagen deres kompilerede logik .
• Metadata-maskering. Angriberne bevarede originale filnavne, stier, tidsstempler og omtrent samme filstørrelser. Enhver filintegritetskontrol, der udelukkende baserede sig på metadata – hvilket er almindeligt i mange virksomhedsmiljøer – så intet forkert .
• Nyttesløs rotation. Fordi den hårdkodede masteradgangskode boede inde i selve autentificeringsmodulet, gjorde en nulstilling af alle brugeres legitimationsoplysninger intet for at lukke modstanderen ude .
• Selvgenoprettende design. Beviser indsamlet under efterforskningen tydede på, at bagdøren var bygget til at overleve delvis genopretning. Hvis sikkerhedsteamet rensede nogle værter, men lod autentificeringsstakken kompromitteret på andre, kunne gruppen flytte sig sideværts og geninficere de genopbyggede maskiner .

Sygnias endelige afhjælpningstrin var entydigt: Netværket krævede en fuld geninstallation af styresystemet på alle berørte værter fra kendte, skrivebeskyttede medier. Selektiv filsletning eller delvis geninstallation var utilstrækkeligt .

Arbejdsmetoderne bag

Velvet Ants succes afhænger ikke af eksotiske angrebskæder. I stedet viser gruppen en moden operationel værktøjskasse fokuseret på tålmodighed og camouflage i autentificeringslaget.

Hvem står bag?

Sygnia tilskriver Operation Highland til Velvet Ant med høj sandsynlighed og forbinder gruppen med statssponsorerede kinesiske spionagemål . Gruppen fokuserer på store organisationer i Østasien, særligt teleselskaber og kritisk infrastruktur .

Tidligere kampagner giver yderligere kontekst. I en anden sag brugte Velvet Ant ældre F5 BIG-IP-apparater som kommando-og-kontrol-proxies (C2) i mindst tre år, før Sygnias undersøgelse afslørede aktiviteten . Gruppen er også observeret i at anvende malware som PlugX og ShadowPad i tidligere indtrængen, hvilket indikerer en bred værktøjskasse, der spænder over både specialudviklede og offentligt tilgængelige kapaciteter .

Hvad bør it-forsvarere gøre nu?

Den vigtigste forsvarslektion fra Operation Highland er, at traditionel endpoint-beskyttelse og kodeordsrotation ikke er nok, når selve autentificeringsstakken er utroværdig.

Forsvarere bør prioritere filintegritetsovervågning, der sammenligner kryptografiske hashværdier fra kritiske systembinærfiler – inklusive /lib/security/pam_unix.so og SSH-dæmonbinærfiler – med kendte, troværdige baseline-målinger, ikke kun filmetadata. Det er også essentielt at logge alle autentificeringshændelser centralt til et uforanderligt, eksternt system, da en angriber med tilstrækkelig adgang kan manipulere værtsbaserede logfiler. Flerfaktorgodkendelse (MFA) forbliver en værdifuld barriere, men det beskytter ikke direkte mod en manipuleret PAM-tjeneste, der helt omgår normale sikkerhedstjek.

Operation Highland viser, at den farligste persistens slet ikke ligner malware – den ligner den login-prompt, du stoler på hver eneste dag.