AnswersPublished20 hours agoLast edited 19 hours ago18 sources

Inne i Operasjon Highland: Slik gjemte Velvet Ant seg i Linux-innloggingen i et tiår

Sygnias Operasjon Highland etterforskning avslørte at den Kina tilknyttede gruppen Velvet Ant holdt seg skjult i et sensitivt, luftgappet nettverk i nesten ti år ved å erstatte Linux sine pam unix.so moduler og OpenSS... Standard skadebegrensning som å slette filer, drepe prosesser og rotere passord var fullstendig...

Search & fact-check with Studio Global AI Browse more Trending pages

1010

Abstract visualization of Linux authentication stack being backdoored by Velvet Ant's Operation Highland campaign — What did Sygnia's forensic investigation of "Operation Highland" reveal about how the China-linked threat group Velvet Ant compromised and mVelvet Ant’s Operation Highland campaign subverted the Linux login system itself — replacing core authentication binaries to maintain access for nearly a decade. Image generated by AI.
AI Prompt
Create a landscape editorial hero image for this Studio Global article: What did Sygnia's forensic investigation of "Operation Highland" reveal about how the China-linked threat group Velvet Ant compromised and m. Article summary: ## Sygnia's "Operation Highland" Findings on Velvet Ant. Topic tags: general, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "Discover the detailed forensic investigation by Sygnia into the sophisticated cyber attack by Velvet Ant on a major organization. The investigation confirmed the threat actor maint" source context "China-Nexus Threat Group 'Velvet Ant' Abuses F5 Load Balancers ..." Reference image 2: visual subject "Velvet Ant Activity Detection: China-Backed Cyber-Espionage Group Launches a Prolonged Attack Using Malware Deployed on the F5 BIG-IP Devices. The China-linked cyber-espionage gr
openai.com

Det israelske hendelseshåndteringsfirmaet Sygnia har publisert funn fra en etterforskning kalt Operasjon Highland. Den avdekker en av de mest disiplinerte og langvarige digitale spionasjekampanjene i nyere tid. Aktiviteten tilskrives med høy grad av sikkerhet en trusselgruppe med Kina-tilknytning som Sygnia sporer som Velvet Ant. Operasjonen defineres ikke av en enkelt ny null-dagers sårbarhet, men av en enkel, men nådeløs idé: å leve inne i programvaren som bestemmer hvem som får logge inn.

Det tiår lange inntoget, steg for steg

Offerets nettverk hadde ingen direkte internettforbindelse og huset svært sensitive systemer. Sygnias rettsmedisinske tidslinje indikerer at angriperne fikk fotfeste minst så langt tilbake som i 2016, noe som ga gruppen en oppholdstid på nesten ti år inne i miljøet .

Første inngangspunkt. Bruddet startet sannsynligvis gjennom et internett-eksponert, upatchet og gammelt F5 BIG-IP-apparat som organisasjonen ikke hadde pensjonert. Da angriperne først hadde kontroll over dette apparatet, brukte de det som et springbrett for å bevege seg dypere inn i nettverket og til slutt nå det luftgappede interne segmentet .

Slik fungerte bakdøren

I stedet for å plante skreddersydd skadevare som filskannere eller endepunktsdeteksjon til slutt kunne flagge, undergravde Velvet Ant operativsystemets egen tillitsarkitektur. På tvers av dusinvis av servere erstattet gruppen systematisk sentrale Linux-autentiseringskomponenter – spesifikt den utvidbare autentiseringsmodulen og flere OpenSSH-binaryfiler – med trojaniserte versjoner .

Studio Global AI

Search, cite, and publish your own answer

Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.

Operasjonelt Mønster	Observert Atferd
Første adgang via nettverkskanten	Utnytter upatchede bedriftsapparater – spesielt F5 BIG-IP og Cisco Nexus-svitsjer – som er eksponert mot internett for å skaffe seg brohoder inn i interne nettverk .
Autentiseringsmanipulering som primærimplantat	Unngår å utplassere konvensjonelle fjernaksess-trojanere (RAT-er) på endepunkter. Erstatter i stedet komponentene som validerer brukerpålogginger på tvers av Linux-maskinparken .
Redundant nett av persistens	Opprettholder flere fotfester over ulike nettverkssegmenter slik at tap av ett tilgangspunkt – eller til og med et helt apparat – ikke avslutter operasjonen .
Å leve av landet	Beveger seg sideveis ved hjelp av stjålet legitimasjon og standard administrative verktøy som SSH. Dette etterlater minimale spesialtilpassede skadevaresignaturer for deteksjonsverktøy å finne .
Passordtyveri i industriell skala	Fanger opp klartekst-passord fra hver eneste vellykkede pålogging på tvers av nettverket. Samler jevnt opp gyldige identiteter uten ekstra nettverksstøy .
Ekstrem oppholdstid	Opererer over år, snarere enn dager eller uker. Dette lave og sakte tempoet innebærer at korte loggbevaringsperioder og rutinemessig systemvedlikehold kan slette rettsmedisinske spor .

Inne i Operasjon Highland: Slik gjemte Velvet Ant seg i Linux-innloggingen i et tiår

Det tiår lange inntoget, steg for steg

Slik fungerte bakdøren

Search, cite, and publish your own answer

People also ask

What is the short answer to "Inne i Operasjon Highland: Slik gjemte Velvet Ant seg i Linux-innloggingen i et tiår"?

What are the key points to validate first?

What should I do next in practice?

Sources

Comments

Hvorfor standard opprydding mislyktes

Mønsteret i gruppens metode

Attribusjon og relatert aktivitet

Hva forsvarere bør gjøre nå