Operatie Highland: Hoe Velvet Ant een decennium lang in de Linux-login verborgen zat

Hoe de backdoor werkte

In plaats van aangepaste malware te plaatsen die scanners of endpoint-detectie uiteindelijk zouden kunnen opmerken, ondermijnde Velvet Ant het vertrouwen in het besturingssysteem zelf. Op tientallen hosts verving de groep systematisch essentiële Linux-authenticatieonderdelen – met name de pam_unix.so-module (Pluggable Authentication Module) en meerdere OpenSSH-binaries – door versies met een ingebouwde achterdeur .

Deze ingreep leverde twee functies in één implantaat op:

1. Masterwachtwoord-toegang. De geïnfecteerde modules bevatten een hardgecodeerd geheim wachtwoord. Met dit ene wachtwoord kregen de aanvallers toegang tot elk gebruikersaccount, waarmee de normale authenticatie volledig werd omzeild. Zelfs als beheerders álle gebruikerswachtwoorden wijzigden, konden de aanvallers nog steeds gewoon naar binnen lopen .
2. Stille buit van inloggegevens. Ieder legitiem inlogmoment werd in realtime onderschept. De klare wachtwoorden van elke authenticerende gebruiker werden weggeschreven naar een verborgen bestand op /usr/share/awk/nullfile.awk. Zo verzamelde Velvet Ant geldige inloggegevens van de hele gebruikersbasis, zonder dat hier extra detecteerbare bewegingen op het netwerk voor nodig waren .

Waarom standaard schoonmaak faalde

Traditionele incidentrespons-draaiboeken zijn niet gebouwd op een tegenstander die de inlogsoftware van je besturingssysteem opnieuw heeft gecompileerd. Het rapport van Sygnia maakt duidelijk waarom de eerste pogingen om de systemen schoon te maken mislukten:

• Blinde vlek bij schoonmaak. De standaard aanpak – verdachte bestanden verwijderen, kwaadaardige processen stoppen, alle wachtwoorden wijzigen – had nul effect op het primaire aanvalsmechanisme. De gecompromitteerde pam_unix.so en SSH-binaries waren in alles legitieme systeembestanden, behalve in hun gecompileerde logica .
• Metadata-maskering. De aanvallers bewaarden de originele bestandsnamen, paden, tijdstempels en bij benadering dezelfde bestandsgroottes. Een controle op bestandsintegriteit die alleen naar metadata keek – gebruikelijk in veel bedrijfsomgevingen – zag niets verkeerds .
• Nutteloze wachtwoordwijziging. Omdat het hardgecodeerde masterwachtwoord in de authenticatiemodule zelf zat, had het wijzigen van de inloggegevens van alle gebruikers geen enkel effect op de toegang van de aanvallers .
• Zelfherstellend ontwerp. Bewijsmateriaal tijdens het onderzoek wees erop dat de backdoor was gebouwd om gedeeltelijke sanering te overleven. Als het beveiligingsteam enkele hosts opschoonde, maar de authenticatie op andere gecompromitteerd bleef, kon de groep zich opnieuw lateraal verplaatsen en de schone machines opnieuw overnemen .

Sygnia's definitieve oplossing was ondubbelzinnig: het netwerk vereiste een volledige herinstallatie van het besturingssysteem op elke getroffen host, vanaf bekende, betrouwbare media. Selectief bestanden verwijderen of gedeeltelijk opnieuw installeren was onvoldoende .

Het werkwijzepatroon

Het succes van Velvet Ant is niet te danken aan exotische aanvalsketens. In plaats daarvan toont de groep een volwassen operationeel handboek, gericht op geduld en camouflage binnen de authenticatie-infrastructuur.

Toeschrijving en gerelateerde activiteit

Sygnia schrijft Operatie Highland met hoge zekerheid toe aan Velvet Ant en verbindt de groep aan Chinese, door de staat gesponsorde spionagedoelstellingen . De groep richt zich op grote organisaties in Oost-Azië, met name telecomaanbieders en kritieke infrastructuur .

Eerdere en parallelle campagnes bieden meer context. In een ander geval gebruikte Velvet Ant verouderde F5 BIG-IP-apparaten minstens drie jaar lang als proxyservers voor bevel en controle (C2), voordat Sygnia's onderzoek de activiteit ontdekte . De groep is ook waargenomen bij eerdere inbraken met de malware PlugX en ShadowPad, wat duidt op een brede toolkit die zowel op maat gemaakte als publiekelijk beschikbare middelen omvat .

Wat beveiligingsteams nu moeten doen

De belangrijkste les van Operatie Highland is dat traditionele endpoint-bescherming en het wijzigen van wachtwoorden niet genoeg zijn wanneer de authenticatie-infrastructuur zelf onbetrouwbaar is.

Beveiligingsteams moeten prioriteit geven aan controle op bestandsintegriteit die cryptografische hashes van kritieke systeembestanden – zoals /lib/security/pam_unix.so en SSH-daemon-binaries – vergelijkt met een bekende, schone baseline. Niet alleen de metadata. Het centraal vastleggen van alle authenticatiegebeurtenissen naar een onveranderlijk, extern systeem is ook essentieel, omdat een aanvaller met voldoende rechten op de host zelf logs kan wijzigen. Meervoudige authenticatie (MFA) blijft een waardevolle barrière, maar beschermt niet direct tegen een gecompromitteerde PAM-service die authenticatiecontroles volledig omzeilt.

Operatie Highland laat zien dat de gevaarlijkste persistentie er helemaal niet uitziet als malware – het lijkt op het inlogscherm dat je elke dag vertrouwt.