答え公開済み22 時間前Last edited 22 時間前18 ソース

「オペレーション・ハイランド」の深層：ベルベット・アントがLinuxログインに10年潜伏した方法

イスラエルのSygnia社による調査で、中国と関連する「ベルベット・アント」が、Linuxの認証モジュール(pam unix.so)とOpenSSHを改ざんし、物理的に隔離された重要ネットワークに約10年間潜伏していたことが判明した[1][2]。ファイルの削除、プロセスの終了、全パスワードのリセットといった従来のインシデント対応策は、OSの正規ファイルと見分けがつかないほど精巧に偽装された改ざんバイナリに対しては全くの無力であり、完全なOS再インストールのみが有効な対策だった[1][2]。

Studio Global AIで検索して事実確認さらにトレンドページを見る

17K0

Abstract visualization of Linux authentication stack being backdoored by Velvet Ant's Operation Highland campaign — What did Sygnia's forensic investigation of "Operation Highland" reveal about how the China-linked threat group Velvet Ant compromised and mVelvet Ant’s Operation Highland campaign subverted the Linux login system itself — replacing core authentication binaries to maintain access for nearly a decade. Image generated by AI.
AI プロンプト
Create a landscape editorial hero image for this Studio Global article: What did Sygnia's forensic investigation of "Operation Highland" reveal about how the China-linked threat group Velvet Ant compromised and m. Article summary: ## Sygnia's "Operation Highland" Findings on Velvet Ant. Topic tags: general, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "Discover the detailed forensic investigation by Sygnia into the sophisticated cyber attack by Velvet Ant on a major organization. The investigation confirmed the threat actor maint" source context "China-Nexus Threat Group 'Velvet Ant' Abuses F5 Load Balancers ..." Reference image 2: visual subject "Velvet Ant Activity Detection: China-Backed Cyber-Espionage Group Launches a Prolonged Attack Using Malware Deployed on the F5 BIG-IP Devices. The China-linked cyber-espionage gr
openai.com

イスラエルに拠点を置くインシデント対応企業Sygniaは、「オペレーション・ハイランド」と名付けられた調査の結果を公開しました。これは近年の事例の中でも、最も規律正しく、かつ巧妙なサイバー諜報活動の一つを暴くものです。この活動は、Sygniaが「ベルベット・アント」として追跡する中国と関連のある脅威グループによるものと、高い確度で評価されています。この作戦を定義づけるのは、単一の革新的なゼロデイ攻撃ではなく、「誰がログインできるかを決定するソフトウェアの中に棲みつく」という、極めて単純明快な発想でした。

10年にわたる侵入の段階的詳細

被害を受けたネットワークはインターネットに直接接続されておらず、機密性の高いシステムを多数抱えていました。Sygniaのフォレンジック調査による時系列分析では、攻撃者は少なくとも2016年にはすでに足場を確保しており、グループは環境内に10年近く潜伏していたことになります。

最初の侵入口。侵入は、組織がまだ廃却していなかったインターネットに接続された、パッチ未適用の旧型F5 BIG-IPアプライアンスを経由して始まった可能性が高いと見られています。攻撃者はこの機器を制御下に置くと、それを踏み台にしてネットワークの深部へと侵入し、最終的にはエアギャップ化された内部セグメントにまで到達しました。

バックドアの仕組み

ファイルスキャナーやエンドポイント検出が最終的に検知するようなカスタムマルウェアを仕掛けるのではなく、「ベルベット・アント」はOS自体の信頼の仕組みを転覆させました。グループは数十台のホストにわたり、Linuxの認証に関わる中核コンポーネント、具体的には（プラガブル認証モジュール）と複数のOpenSSHバイナリを、トロイの木馬化したバージョンに組織的に置き換えていたのです。

Studio Global AI

Search, cite, and publish your own answer

Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.

Studio Global AIで検索して事実確認

人々も尋ねます