Operaatio Highland paljastaa vuosikymmenen kestäneen kybervakoilun – takaportti löytyi sieltä, mistä kukaan ei osannut etsiä

Sisäänpääsy. Murtautuminen tapahtui todennäköisesti verkon reunalla sijainneen, päivittämättömän F5 BIG-IP -kuormantasauslaitteen kautta. Tämä vanhentunut laite oli jäänyt organisaation käyttöön, ja sen avulla hyökkääjät pääsivät etenemään verkossa aina ilmaraolla suojattuun sisäverkkoon asti .

Takaportti, jota kukaan ei nähnyt

Sen sijaan, että ryhmä olisi asentanut verkkoon haittaohjelmia, jotka virustorjunta voisi havaita, Velvet Ant valjasti käyttöönsä itse käyttöjärjestelmän luotetun arkkitehtuurin. Kymmenissä palvelimissa ryhmä korvasi järjestelmällisesti Linuxin keskeiset autentikointikomponentit – erityisesti pam_unix.so-todennusmoduulin (Pluggable Authentication Module) ja useita OpenSSH-binäärejä – manipuloiduilla versioilla .

Tämä vaihdos tarjosi kaksi toimintoa yhdellä istutteella:

1. Yleisavainsalasanan ohitus. Takaporteilla varustetut moduulit sisälsivät kovakoodatun salaisen salasanan. Millä tahansa käyttäjätilillä pystyi kirjautumaan pelkästään tällä salasanalla, ohittaen täysin normaalin varmennusprosessin. Vaikka järjestelmänvalvojat olisivat vaihtaneet jokaisen salasanan, hyökkääjät olisivat silti päässeet sisään kuin ovesta kävellen .
2. Hiljainen salasanojen kerääminen. Jokainen laillinen kirjautumistapahtuma kaapattiin reaaliajassa. Jokaisen verkon käyttäjän kirjoittama salasana tallennettiin selkokielisenä piilotettuun tiedostoon /usr/share/awk/nullfile.awk. Näin Velvet Ant keräsi jatkuvasti toimivia tunnuksia ilman, että se aiheutti verkkoliikenteeseen turhaa hälyä .

Miksi tavalliset siivoustoimet epäonnistuivat

Perinteiset tietoturvapoikkeamien torjuntaoppaat eivät ole rakennettu vihollista varten, joka on kääntänyt käyttöjärjestelmäsi kirjautumisohjelmiston uusiksi. Sygnian raportti tekee selväksi, miksi ensimmäiset puhdistusyritykset menivät pieleen:

• Torjunnan katvealue. Vakiomenetelmä – epäilyttävien tiedostojen poisto, haitallisten prosessien sammuttaminen ja kaikkien salasanojen vaihto – ei vaikuttanut mitenkään hyökkääjän ensisijaiseen pysyvyysmekanismiin. Muokatut pam_unix.so ja SSH-binäärit olivat kaikin puolin laillisia järjestelmätiedostoja – lukuun ottamatta niiden käännettyä logiikkaa .
• Metatietojen peittely. Hyökkääjät säilyttivät alkuperäiset tiedostonimet, polut, aikaleimat ja suunnilleen samat tiedostokoot. Yritysympäristöissä yleiset eheystarkistukset, jotka perustuvat pelkkiin metatietoihin, eivät nähneet mitään poikkeavaa .
• Salasanan vaihtamisen hyödyttömyys. Koska kovakoodattu yleisavainsalasana asui itse todennusmoduulin sisällä, käyttäjien tunnusten vaihtaminen ei estänyt hyökkääjää mitenkään .
• Itsestään palautuva rakenne. Tutkinnan aikana kerätty näyttö viittasi siihen, että takaportti oli suunniteltu selviämään osittaisesta korjauksesta. Jos tietoturvatiimi siivosi osan koneista, mutta jätti autentikointipinon murretuksi toisaalla, ryhmä pystyi liikkumaan sivusuunnassa ja saastuttamaan korjatut koneet uudelleen .

Sygnian lopullinen korjausaskel oli yksiselitteinen: jokaisen saastuneen palvelimen käyttöjärjestelmä oli rakennettava kokonaan uudelleen tunnetusti puhtaalta, kirjoitussuojatulta medialta. Valikoiva tiedostojen poisto tai osittainen uudelleenasennus ei riittänyt .

Velvet Antin toimintatapa

Velvet Antin menestys ei perustu eksoottisiin hyökkäysketjuihin. Ryhmä osoittaa kypsää toimintamallia, joka nojaa kärsivällisyyteen ja naamioitumiseen autentikointikerrokseen.

Kohdistus ja liitännäinen toiminta

Sygnia attribuoi Operaatio Highlandin suurella varmuudella Velvet Ant -ryhmälle ja yhdistää sen Kiinan valtiollisiin vakoilutavoitteisiin . Ryhmä keskittyy suuriin organisaatioihin Itä-Aasiassa, erityisesti tietoliikennealan toimijoihin ja kriittiseen infrastruktuuriin .

Aiemmat ja rinnakkaiset kampanjat antavat lisäkontekstia. Erillisessä tapauksessa Velvet Ant käytti vanhentuneita F5 BIG-IP -laitteita etähallintapalveliminaan (Command & Control, C2) vähintään kolmen vuoden ajan ennen kuin Sygnian tutkimus paljasti toiminnan . Ryhmän on havaittu aiemmissa tunkeutumisissa hyödyntäneen myös PlugX- ja ShadowPad-haittaohjelmia, mikä kertoo laajasta työkalupakista, joka sisältää sekä räätälöityjä että julkisesti saatavilla olevia kyvykkyyksiä .

Mitä puolustajien tulisi tehdä nyt

Operaatio Highlandin tärkein oppi on se, etteivät perinteinen päätelaitesuojaus ja salasanojen vaihto riitä, kun itse autentikointipino on epäluotettava.

Puolustajien tulisi ensisijaisesti ottaa käyttöön tiedostojen eheyden valvonta, joka vertaa kriittisten järjestelmän binääritiedostojen – mukaan lukien /lib/security/pam_unix.so ja SSH-palvelimen binäärien – kryptografisia tiivisteitä (hash) tunnettuihin, puhtaisiin perustasoihin, ei pelkkiin metatietoihin. Kaikkien autentikointitapahtumien keskittäminen muuttamattomaan, ulkoiseen lokijärjestelmään on myös olennaista, sillä riittävät oikeudet omaava hyökkääjä voi peukaloida isäntäkoneen omia lokeja. Monivaiheinen tunnistautuminen (MFA) on arvokas suojamuuri, mutta se ei sellaisenaan suojaa manipuloidulta PAM-palvelulta, joka ohittaa kaikki varmennustarkastukset.

Operaatio Highland osoittaa, ettei vaarallisin pysyvyysmekanismi näytä lainkaan haittaohjelmalta – se näyttää siltä kirjautumisruudulta, johon luotat joka päivä.