Operasi Highland: Bagaimana Velvet Ant Bersembunyi di Jantung Login Linux

Alih-alih menjatuhkan malware khusus yang mungkin akan ditandai oleh pemindai file atau deteksi titik akhir, Velvet Ant menyusupi arsitektur kepercayaan sistem operasi itu sendiri. Di puluhan host, kelompok ini secara sistematis mengganti komponen autentikasi inti Linux — khususnya modul autentikasi pluggable pam_unix.so dan beberapa binari OpenSSH — dengan versi yang telah dimodifikasi .

Substitusi ini memberikan dua kemampuan dari satu implan:

1. Pintasan kata sandi utama. Modul yang telah dimodifikasi berisi kata sandi rahasia yang dikodekan secara permanen (hardcoded). Akun pengguna mana pun dapat diakses hanya dengan kata sandi ini, sepenuhnya melewati autentikasi normal. Bahkan jika administrator merotasi setiap kredensial pengguna, para penyerang masih bisa masuk lewat pintu depan .
2. Pemanenan kredensial senyap. Setiap peristiwa login yang sah ditangkap secara real time. Kata sandi setiap pengguna yang melakukan autentikasi, dalam bentuk teks jelas (clear-text), ditulis ke file tersembunyi yang terletak di /usr/share/awk/nullfile.awk. Ini memungkinkan Velvet Ant mengumpulkan kredensial yang valid di seluruh basis pengguna tanpa menimbulkan kebisingan pergerakan lateral tambahan .

Mengapa Pembersihan Standar Gagal

Buku pedoman respons insiden tradisional tidak dibangun untuk melawan musuh yang telah mengompilasi ulang binari login sistem operasi Anda. Laporan Sygnia menjelaskan mengapa beberapa upaya pembersihan pertama gagal:

• Kesenjangan pembersihan. Alur kerja standar — hapus file mencurigakan, matikan proses jahat, rotasi semua kata sandi — tidak berdampak apa pun pada mekanisme persistensi utama penyerang. Binari pam_unix.so dan SSH yang telah dimodifikasi adalah file sistem yang sah dalam segala hal kecuali logika yang dikompilasi .
• Penyamaran metadata. Para penyerang mempertahankan nama file, jalur, cap waktu, dan sekitar ukuran file asli. Setiap pemeriksaan integritas file yang hanya mengandalkan metadata file — yang umum di banyak lingkungan perusahaan — tidak melihat ada yang salah .
• Kesia-siaan rotasi kata sandi. Karena kata sandi utama yang dikodekan secara permanen berada di dalam modul autentikasi itu sendiri, mengatur ulang kredensial setiap pengguna tidak mengunci lawan .
• Desain yang memasang ulang dirinya sendiri. Bukti yang dikumpulkan selama investigasi menunjukkan pintu belakang itu dibangun untuk bertahan dari remediasi parsial. Jika tim keamanan membersihkan beberapa host tetapi meninggalkan tumpukan autentikasi yang telah disusupi di host lain, kelompok itu bisa bergerak lateral kembali dan menyusupi ulang mesin yang telah dibangun kembali .

Langkah remediasi pamungkas Sygnia tidak ambigu: jaringan memerlukan pembangunan ulang sistem operasi penuh pada setiap host yang terpengaruh dari media yang diketahui baik dan bersifat read-only. Penghapusan file selektif atau reimaging parsial tidaklah cukup .

Pola Kecakapan Operasional

Keberhasilan Velvet Ant tidak bergantung pada rantai serangan yang eksotis. Sebaliknya, kelompok ini menunjukkan buku pedoman operasional matang yang berfokus pada kesabaran dan kamuflase lapisan autentikasi.

Atribusi dan Aktivitas Terkait

Sygnia mengatribusikan Operasi Highland kepada Velvet Ant dengan keyakinan tinggi dan menghubungkan kelompok ini dengan tujuan spionase yang disponsori negara Tiongkok . Kelompok ini berfokus pada organisasi besar di Asia Timur, khususnya penyedia telekomunikasi dan infrastruktur penting .

Kampanye sebelumnya dan paralel memberikan konteks tambahan. Dalam sebuah kasus terpisah, Velvet Ant menggunakan perangkat F5 BIG-IP lawas sebagai proksi komando dan kendali (C2) setidaknya selama tiga tahun sebelum investigasi Sygnia mengungkap aktivitas tersebut . Kelompok ini juga telah teramati menggunakan malware PlugX dan ShadowPad selama intrusi sebelumnya, menunjukkan perangkat yang luas yang mencakup kemampuan khusus dan yang tersedia untuk umum .

Yang Harus Dilakukan oleh Para Pembela Jaringan

Pelajaran pertahanan paling penting dari Operasi Highland adalah bahwa perlindungan titik akhir tradisional dan rotasi kredensial tidaklah cukup ketika tumpukan autentikasi itu sendiri tidak dapat dipercaya.

Para pembela jaringan harus memprioritaskan pemantauan integritas file yang membandingkan hash kriptografis dari binari sistem penting — termasuk /lib/security/pam_unix.so dan binari daemon SSH — terhadap basis yang diketahui baik, bukan hanya metadata file. Mencatat semua peristiwa autentikasi secara terpusat ke sistem eksternal yang tidak dapat diubah juga esensial, karena penyerang dengan akses yang cukup dapat merusak log di host itu sendiri. Autentikasi multi-faktor tetap menjadi penghalang yang berharga, tetapi tidak secara langsung melindungi dari layanan PAM yang telah dimodifikasi untuk melewati pemeriksaan autentikasi sepenuhnya.

Operasi Highland menunjukkan bahwa persistensi paling berbahaya tidak terlihat seperti malware sama sekali — ia tampak seperti tampilan permintaan login yang Anda percayai setiap hari.