Operasi Highland: Bagaimana Velvet Ant Bersembunyi dalam Sistem Log Masuk Linux Selama Hampir Sedekad

Daripada menjatuhkan perisian hasad tersuai yang mungkin dikesan oleh pengimbas fail atau pengesanan titik akhir, Velvet Ant menumbangkan seni bina kepercayaan sistem operasi itu sendiri. Merentasi puluhan hos, kumpulan ini secara sistematik menggantikan komponen pengesahan teras Linux — khususnya modul pengesahan pluggable pam_unix.so dan pelbagai binari OpenSSH — dengan versi trojan .

Penggantian ini menyediakan dua keupayaan daripada satu implan tunggal:

1. Pintasan kata laluan induk. Modul pintu belakang mengandungi kata laluan rahsia yang dikod keras. Mana-mana akaun pengguna boleh diakses dengan kata laluan ini sahaja, sepenuhnya memintas pengesahan normal. Walaupun pentadbir menukar setiap kelayakan pengguna, penyerang masih boleh masuk melalui pintu depan .
2. Penuaian kelayakan secara senyap. Setiap acara log masuk yang sah ditangkap dalam masa nyata. Kata laluan teks jelas setiap pengguna yang mengesahkan telah ditulis ke fail tersembunyi yang terletak di /usr/share/awk/nullfile.awk. Ini membolehkan Velvet Ant mengumpul kelayakan yang sah merentasi keseluruhan pangkalan pengguna tanpa bising pergerakan lateral tambahan .

Mengapa Pembersihan Standard Gagal

Buku panduan tindak balas insiden tradisional tidak dibina untuk musuh yang telah mengkompil semula binari log masuk sistem operasi anda. Laporan Sygnia menjelaskan mengapa beberapa percubaan pembersihan pertama gagal:

• Jurang pembersihan. Aliran kerja standard — buang fail mencurigakan, hentikan proses berniat jahat, tukar semua kata laluan — tidak memberi kesan kepada mekanisme kegigihan utama penyerang. Modul trojan pam_unix.so dan binari SSH adalah fail sistem yang sah dalam semua segi kecuali logik terkompilnya .
• Penyamaran metadata. Penyerang mengekalkan nama fail asal, laluan, cap masa, dan lebih kurang saiz fail yang sama. Sebarang pemeriksaan integriti fail yang hanya bergantung pada metadata fail — yang lazim dalam kebanyakan persekitaran perusahaan — tidak melihat sebarang kesalahan .
• Kesia-siaan penggiliran kata laluan. Oleh kerana kata laluan induk yang dikod keras tinggal di dalam modul pengesahan itu sendiri, menetapkan semula kelayakan setiap pengguna tidak berbuat apa-apa untuk menghalang musuh keluar .
• Reka bentuk pemasangan semula sendiri. Bukti yang dikumpul semasa siasatan menunjukkan pintu belakang dibina untuk bertahan dalam pemulihan separa. Jika pasukan keselamatan membersihkan beberapa hos tetapi meninggalkan timbunan pengesahan terjejas pada yang lain, kumpulan itu boleh bergerak lateral kembali dan menjejaskan semula mesin yang telah dibina semula .

Langkah pemulihan muktamad Sygnia adalah jelas: rangkaian tersebut memerlukan pembinaan semula sistem operasi penuh setiap hos yang terjejas daripada media hanya-baca yang diketahui baik. Penyingkiran fail terpilih atau pengimejan semula separa adalah tidak mencukupi .

Corak Taktik Perdagangan

Kejayaan Velvet Ant tidak bergantung pada rantaian serangan eksotik. Sebaliknya, kumpulan ini menunjukkan buku panduan operasi matang yang tertumpu pada kesabaran dan penyamaran lapisan pengesahan.

Atribusi dan Aktiviti Berkaitan

Sygnia mengaitkan Operasi Highland kepada Velvet Ant dengan keyakinan tinggi dan menghubungkan kumpulan ini kepada objektif pengintipan tajaan kerajaan China . Kumpulan ini tertumpu pada organisasi besar di Asia Timur, terutamanya penyedia telekomunikasi dan infrastruktur kritikal .

Kempen sebelum dan selari menyediakan konteks tambahan. Dalam kes berasingan, Velvet Ant menggunakan peranti warisan F5 BIG-IP sebagai proksi perintah dan kawalan (C2) selama sekurang-kurangnya tiga tahun sebelum siasatan Sygnia mendedahkan aktiviti tersebut . Kumpulan ini juga telah diperhatikan menggunakan perisian hasad PlugX dan ShadowPad semasa pencerobohan terdahulu, menunjukkan kotak alat luas yang merangkumi kedua-dua keupayaan tersuai dan tersedia secara umum .

Apa Yang Perlu Dilakukan Oleh Pasukan Pertahanan Sekarang

Pengajaran pertahanan paling penting dari Operasi Highland adalah bahawa perlindungan titik akhir tradisional dan penggiliran kelayakan tidak mencukupi apabila timbunan pengesahan itu sendiri tidak boleh dipercayai.

Pasukan pertahanan harus mengutamakan pemantauan integriti fail yang membandingkan cincangan kriptografi binari sistem kritikal — termasuk /lib/security/pam_unix.so dan binari daemon SSH — berbanding garis dasar yang diketahui baik, bukan hanya metadata fail. Log semua acara pengesahan secara berpusat ke sistem luaran yang tidak boleh diubah juga penting, kerana penyerang dengan akses yang mencukupi boleh mengganggu log pada hos. Pengesahan pelbagai faktor kekal sebagai halangan berharga, tetapi ia tidak secara langsung melindungi terhadap perkhidmatan PAM pintu belakang yang memintas sepenuhnya pemeriksaan pengesahan.

Operasi Highland menunjukkan bahawa kegigihan yang paling berbahaya tidak kelihatan seperti perisian hasad langsung — ia kelihatan seperti promp log masuk yang anda percayai setiap hari.