답변게시됨18 소스
그들이 당신의 로그인 화면 속에 산다: 10년 은신한 벨벳 앤트의 충격 실체
시그니아의 '오퍼레이션 하이랜드' 조사 결과, 중국 연계 그룹 벨벳 앤트가 망분리된 민감 네트워크에서 리눅스 pam unix.so 모듈과 OpenSSH 바이너리를 변조해 약 10년간 은밀히 상주했다. 파일 삭제, 프로세스 종료, 비밀번호 변경 등 기존 표준 사고 대응은 변조된 인증 바이너리가 원본과 완전히 동일하게 보이도록 위장됐기 때문에 전혀 효과가 없었다.
17K0
AI 프롬프트
openai.comCreate a landscape editorial hero image for this Studio Global article: What did Sygnia's forensic investigation of "Operation Highland" reveal about how the China-linked threat group Velvet Ant compromised and m. Article summary: ## Sygnia's "Operation Highland" Findings on Velvet Ant. Topic tags: general, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "Discover the detailed forensic investigation by Sygnia into the sophisticated cyber attack by Velvet Ant on a major organization. The investigation confirmed the threat actor maint" source context "China-Nexus Threat Group 'Velvet Ant' Abuses F5 Load Balancers ..." Reference image 2: visual subject "Velvet Ant Activity Detection: China-Backed Cyber-Espionage Group Launches a Prolonged Attack Using Malware Deployed on the F5 BIG-IP Devices. The China-linked cyber-espionage gr
이스라엘에 본사를 둔 사고 대응 전문 기업 시그니아(Sygnia)가 '오퍼레이션 하이랜드(Operation Highland)'라고 명명된 조사 결과를 발표하며 최근 몇 년간 발견된 사이버 스파이 공작 중 가장 치밀하고 오래 지속된 캠페인의 실체를 낱낱이 공개했다. 이 활동은 시그니아가 ‘벨벳 앤트(Velvet Ant)’로 추적하는 중국 연계 위협 그룹의 소행으로 강력히 추정된다. 이 작전을 정의하는 것은 참신한 제로데이 공격 하나가 아니라, 더욱 근본적이고 무시무시한 아이디어다. 바로 누가 로그인할 수 있는지 결정하는 소프트웨어 자체를 멀웨어의 일부로 만드는 것이다.
거의 10년에 걸친 은밀한 침투의 전말
피해 네트워크는 인터넷에 직접 연결되지 않은 망분리(에어갭) 환경으로, 매우 민감한 시스템을 보유하고 있었다. 시그니아의 포렌식 타임라인 분석에 따르면, 공격자들은 최소한 2016년 혹은 그 이전부터 내부에 침투하여 무려 10년 가까이 네트워크에 상주한 것으로 밝혀졌다 .
최초 진입로. 침투의 시작은 피해 조직이 폐기하지 않고 인터넷에 노출시켜 둔 구형 F5 BIG-IP 어플라이언스의 취약점을 악용하면서 시작됐다. 공격자들은 이 장비의 통제권을 확보한 후, 이를 교두보 삼아 내부로 더 깊숙이 파고들었으며, 결국 물리적으로 공중망과 분리된 내부 구역까지 도달하는 데 성공했다 .
백도어 작동 방식
벨벳 앤트는 파일 스캐너나 엔드포인트 탐지에 걸릴 만한 전형적인 멀웨어를 심는 대신, 운영체제 자체의 신뢰 아키텍처를 전복시켰다. 수십 대의 호스트에 걸쳐 이들은 핵심 리눅스 인증 구성 요소들—구체적으로는 pam_unix.so라는 이름의 PAM(Pluggable Authentication Module, 플러거블 인증 모듈) 과 여러 OpenSSH 바이너리들—의 감염되지 않은 원본 파일들을 악성으로 재컴파일된 변조본들로 조용히 대체했다 .
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
사람들은 또한 묻습니다.
"그들이 당신의 로그인 화면 속에 산다: 10년 은신한 벨벳 앤트의 충격 실체"에 대한 짧은 대답은 무엇입니까?
시그니아의 '오퍼레이션 하이랜드' 조사 결과, 중국 연계 그룹 벨벳 앤트가 망분리된 민감 네트워크에서 리눅스 pam unix.so 모듈과 OpenSSH 바이너리를 변조해 약 10년간 은밀히 상주했다.
먼저 검증할 핵심 포인트는 무엇인가요?
시그니아의 '오퍼레이션 하이랜드' 조사 결과, 중국 연계 그룹 벨벳 앤트가 망분리된 민감 네트워크에서 리눅스 pam unix.so 모듈과 OpenSSH 바이너리를 변조해 약 10년간 은밀히 상주했다. 파일 삭제, 프로세스 종료, 비밀번호 변경 등 기존 표준 사고 대응은 변조된 인증 바이너리가 원본과 완전히 동일하게 보이도록 위장됐기 때문에 전혀 효과가 없었다.
실무에서는 다음으로 무엇을 해야 합니까?
이들의 공격 기법은 기술적 신규성 대신 극단적인 인내와 인증 계층 자체의 신뢰를 전복시키는 것에 방점을 찍고 있어, 파일 무결성 모니터링을 반드시 암호학적 해시 수준으로 도입해야 한다는 교훈을 남겼다.
출처
- thehackernews.comChina-Linked Hackers Backdoored Linux Login Software to Hide for ...
- intelfusions.comChina-linked spies lurked in a critical network for nearly a decade
- dc3.mil[PDF] DIB-Reported Cyber Threats CY2024 Q2 April–June
- imda.gov.sgBackdoor exploit against telecom systems
- modeldiplomat.comVelvet Ant | Model Diplomat
Loading comments...
Comments
0 comments