What should I do next in practice?

שיטת הפעולה של הקבוצה מתאפיינת בסבלנות מבצעית יוצאת דופן ובהתמקדות בחבלה במנגנון האימות עצמו.

AnswersPublished20 hours agoLast edited 19 hours ago18 sources

מבצע היילנד: כך הסתתרה קבוצת הריגול הסינית Velvet Ant בתוכנת ההתחברות ללינוקס במשך עשור

חקירת 'מבצע היילנד' של חברת Sygnia חשפה שקבוצת Velvet Ant, המשויכת לסין, נותרה נסתרת בתוך רשת קריטית ומנותקת אינטרנט במשך קרוב לעשור על ידי החלפת מודולי pam unix.so וקבצי OpenSSH ברכיבים נגועים [1] [2]. פעולות תגובה סטנדרטיות כמו מחיקת קבצים, עצירת תהליכים והחלפת סיסמאות היו חסרות תועלת לחלוטין, שכן קבצי האימות הנגו...

Search & fact-check with Studio Global AI Browse more Trending pages

1010

Abstract visualization of Linux authentication stack being backdoored by Velvet Ant's Operation Highland campaign — What did Sygnia's forensic investigation of "Operation Highland" reveal about how the China-linked threat group Velvet Ant compromised and mVelvet Ant’s Operation Highland campaign subverted the Linux login system itself — replacing core authentication binaries to maintain access for nearly a decade. Image generated by AI.
AI Prompt
Create a landscape editorial hero image for this Studio Global article: What did Sygnia's forensic investigation of "Operation Highland" reveal about how the China-linked threat group Velvet Ant compromised and m. Article summary: ## Sygnia's "Operation Highland" Findings on Velvet Ant. Topic tags: general, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "Discover the detailed forensic investigation by Sygnia into the sophisticated cyber attack by Velvet Ant on a major organization. The investigation confirmed the threat actor maint" source context "China-Nexus Threat Group 'Velvet Ant' Abuses F5 Load Balancers ..." Reference image 2: visual subject "Velvet Ant Activity Detection: China-Backed Cyber-Espionage Group Launches a Prolonged Attack Using Malware Deployed on the F5 BIG-IP Devices. The China-linked cyber-espionage gr
openai.com

חברת התגובה לאירועי סייבר Sygnia, שמרכזה בישראל, פרסמה ממצאים מחקירה המכונה "מבצע היילנד" (Operation Highland), החושפת את אחד מקמפיינים הריגול הממושמעים וארוכי הטווח ביותר בזיכרון האחרון. הפעילות מיוחסת ברמת ודאות גבוהה לקבוצת איום המזוהה עם סין, אותה מכנה Sygnia בשם Velvet Ant. המבצע אינו מוגדר על ידי ניצול אפס-יום חדשני אחד, אלא על ידי רעיון פשוט וחסר רחמים: לחיות בתוך התוכנה שקובעת למי מותר להתחבר.

הפלישה רבת השנים, צעד אחר צעד

רשת הקורבן לא הייתה מחוברת ישירות לאינטרנט ואיכלסה מערכות רגישות ביותר. ציר הזמן הפורנזי של Sygnia מצביע על כך שהתוקפים השיגו דריסת רגל לפחות החל משנת 2016, מה שהעניק לקבוצה כמעט עשור של שהייה סמויה בתוך הסביבה .

נקודת הכניסה הראשונית. הפרצה החלה ככל הנראה דרך מכשיר F5 BIG-IP ישן וחשוף לאינטרנט, שהארגון לא הספיק להחליף. ברגע שהתוקפים השיגו שליטה על המכשיר, הם השתמשו בו כנקודת ציר כדי לנוע עמוק יותר פנימה – ולבסוף להגיע למקטע הפנימי המנותק לחלוטין מהרשת החיצונית .

כיצד פעלה הדלת האחורית

במקום להפיל תוכנה זדונית ייעודית שסורקי קבצים או מערכות הגנת קצה עלולים לזהות בסופו של דבר, Velvet Ant חתרה תחת ארכיטקטורת האמון של מערכת ההפעלה עצמה. על פני עשרות שרתים, הקבוצה החליפה באופן שיטתי רכיבי אימות לינוקס מרכזיים – באופן ספציפי, את המודול pam_unix.so (האחראי על בדיקת סיסמאות) ומספר קבצים בינאריים של OpenSSH – בגרסאות נגועות שהוחדרה להן דלת אחורית .

Studio Global AI

Search, cite, and publish your own answer

Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.

דפוס פעולה	התנהגות שנצפתה
חדירה דרך קצה הרשת	ניצול מכשירי Enterprise ישנים – בעיקר F5 BIG-IP ומתגי Cisco Nexus – החשופים לאינטרנט כראשי גשר אל תוך הרשתות הפנימיות .
חבלה במנגנון האימות כשתל עיקרי	המנעות מפריסת סוסים טרויאניים סטנדרטיים לגישה מרחוק (RATs) על גבי תחנות הקצה, ובמקום זאת החלפת הרכיבים שמאמתים התחברויות משתמש ברחבי כל צי שרתי הלינוקס .
רשת התמדה מיותרת	שמירה על דריסות רגל מרובות על פני מקטעי רשת שונים, כך שאובדן נקודת גישה אחת – או אפילו מכשיר תקשורת שלם – אינו מסיים את המבצע .
חיים על חשבון הסביבה (Living-off-the-land)	תנועה צידית באמצעות אישורים גנובים וכלי ניהול מקומיים כמו SSH, תוך השארת כמות מזערית של תוכנות זדוניות מותאמות אישית שכלי גילוי יכולים לזהות .
קציר אישורים בקנה מידה תעשייתי	לכידת סיסמאות בטקסט ברור מכל התחברות מוצלחת ברשת, צבירה מתמדת של זהויות תקפות ללא כל רעש רשת נוסף .
זמן שהייה קיצוני	מבצעים על פני שנים במקום ימים או שבועות. משמעות הקצב האיטי הזה היא שחלונות שמירת לוגים קצרים ותחזוקת מערכת שוטפת יכולים למחוק ראיות פורנזיות .

מבצע היילנד: כך הסתתרה קבוצת הריגול הסינית Velvet Ant בתוכנת ההתחברות ללינוקס במשך עשור

הפלישה רבת השנים, צעד אחר צעד

כיצד פעלה הדלת האחורית

Search, cite, and publish your own answer

People also ask

What is the short answer to "מבצע היילנד: כך הסתתרה קבוצת הריגול הסינית Velvet Ant בתוכנת ההתחברות ללינוקס במשך עשור"?

What are the key points to validate first?

What should I do next in practice?

Sources

Comments

מדוע ניקוי סטנדרטי נכשל

דפוס הפעולה

ייחוס ופעילות קשורה

מה על צוותי הגנה לעשות כעת