Operacja Highland: Jak Velvet Ant przez dekadę ukrywał się w systemie logowania Linux

Jak działał backdoor

Zamiast instalować niestandardowe złośliwe oprogramowanie, które skanery plików czy systemy EDR mogłyby w końcu wykryć, Velvet Ant podważył natywną architekturę zaufania systemu operacyjnego. Na dziesiątkach hostów grupa systematycznie zastępowała kluczowe komponenty uwierzytelniania Linuksa – konkretnie moduł pam_unix.so oraz kilka binariów OpenSSH – ich trojanizowanymi wersjami .

Taka podmiana dawała dwa potężne narzędzia w jednym implancie:

1. Ominięcie hasła głównego. Zbackdoorowane moduły zawierały zakodowane na stałe tajne hasło. Każde konto użytkownika było dostępne przy użyciu tylko tego jednego hasła, całkowicie omijając proces uwierzytelniania. Nawet jeśli administratorzy zmieniliby wszystkie dane logowania, intruzi nadal mogliby wejść głównym wejściem .
2. Ciche przechwytywanie danych uwierzytelniających. Każda legalna próba logowania była rejestrowana w czasie rzeczywistym. Hasła w formie jawnej wszystkich autoryzujących się użytkowników trafiały do ukrytego pliku /usr/share/awk/nullfile.awk. Pozwoliło to grupie Velvet Ant na zbieranie ważnych danych uwierzytelniających w całej sieci, bez generowania dodatkowego ruchu sieciowego .

Dlaczego standardowe czyszczenie nie działało

Tradycyjne procedury reagowania na incydenty nie są przystosowane do przeciwnika, który przekompilował pliki binarne logowania w twoim systemie operacyjnym. Raport Sygnii jasno wyjaśnia, dlaczego kilka pierwszych prób oczyszczenia sieci zakończyło się fiaskiem:

• Luka w procesie czyszczenia. Standardowa ścieżka – usuń podejrzane pliki, zabij złośliwe procesy, zmień wszystkie hasła – nie miała żadnego wpływu na główny mechanizm utrzymywania się napastników. Zbackdoorowane moduły pam_unix.so i binaria SSH były legalnymi plikami systemowymi pod każdym względem, z wyjątkiem skompilowanej logiki działania .
• Maskowanie metadanych. Napastnicy zachowali oryginalne nazwy, ścieżki, znaczniki czasu i zbliżone rozmiary plików. Każda kontrola integralności plików oparta wyłącznie na metadanych – co jest powszechne w wielu środowiskach korporacyjnych – nie wykazywała niczego podejrzanego .
• Daremna rotacja haseł. Ze względu na zakodowane na stałe hasło główne w samym module uwierzytelniającym, resetowanie danych logowania użytkowników nie blokowało napastnikom dostępu .
• Zdolność do samoreinstalacji. Dowody zebrane podczas śledztwa wskazały, że backdoor został zaprojektowany tak, by przetrwać częściową remediację. Jeśli zespół bezpieczeństwa wyczyścił część hostów, ale pozostawił skompromitowany stos uwierzytelniania na innych, grupa mogła przesunąć się poziomo i ponownie przejąć odbudowane maszyny .

Ostateczna rekomendacja Sygnii była jednoznaczna: sieć wymagała pełnej przebudowy systemu operacyjnego na każdym zaatakowanym hoście, z wykorzystaniem znanych, czystych nośników tylko do odczytu. Selektywne usuwanie plików lub częściowe przywracanie obrazu systemu było niewystarczające .

Metodyka operacyjna

Sukces Velvet Ant nie opiera się na egzotycznych łańcuchach ataków. Zamiast tego grupa demonstruje dojrzały model operacyjny, skoncentrowany na cierpliwości i maskowaniu się w warstwie uwierzytelniania.

Atrybucja i powiązane działania

Sygnia z dużą pewnością przypisuje Operację Highland grupie Velvet Ant i wiąże ją z celami chińskiego szpiegostwa państwowego . Grupa koncentruje się na dużych organizacjach w Azji Wschodniej, w szczególności na dostawcach usług telekomunikacyjnych i infrastrukturze krytycznej .

Wcześniejsze i równoległe kampanie dostarczają dodatkowego kontekstu. W odrębnym przypadku Velvet Ant używał przestarzałych urządzeń F5 BIG-IP jako serwerów proxy do dowodzenia i kontroli (C2) przez co najmniej trzy lata, zanim śledztwo Sygnii ujawniło tę aktywność . Zaobserwowano również, że grupa wykorzystywała malware PlugX i ShadowPad podczas wcześniejszych włamań, co wskazuje na szeroki arsenał obejmujący zarówno niestandardowe, jak i ogólnodostępne narzędzia .

Co powinni zrobić obrońcy

Najważniejsza lekcja z Operacji Highland jest taka, że tradycyjne zabezpieczenia punktów końcowych i rotacja danych uwierzytelniających nie wystarczają, gdy sam stos uwierzytelniania jest niewiarygodny.

Obrońcy powinni priorytetowo traktować monitorowanie integralności plików, które porównuje kryptograficzne sumy kontrolne krytycznych binariów systemowych – w tym /lib/security/pam_unix.so i demonów SSH – z zaufanymi wzorcami, a nie tylko z metadanymi. Niezbędne jest również centralne rejestrowanie wszystkich zdarzeń uwierzytelniania w niezmienialnym, zewnętrznym systemie, ponieważ napastnik z wystarczającym dostępem może manipulować logami na hoście. Uwierzytelnianie wieloskładnikowe (MFA) pozostaje cenną barierą, ale nie chroni bezpośrednio przed zbackdoorowaną usługą PAM, która całkowicie omija kontrole uwierzytelniania.

Operacja Highland pokazuje, że najniebezpieczniejsza trwałość nie wygląda jak malware – wygląda jak monit logowania, któremu ufasz każdego dnia.