Внутри операции «Highland»: хакеры, которых не смогла остановить смена паролей

Вместо того чтобы загружать собственноручно написанный вирус, который могли бы обнаружить файловые сканеры или средства защиты конечных точек, Velvet Ant подорвала саму архитектуру доверия операционной системы. На десятках хостов группировка систематически заменила ключевые компоненты аутентификации Linux — в частности, подключаемый модуль аутентификации pam_unix.so и несколько бинарных файлов OpenSSH — на троянизированные версии .

Эта подмена давала два преимущества от одного импланта:

1. Обход с мастер-паролем. Скомпрометированные модули содержали жестко запрограммированный секретный пароль. С его помощью можно было войти в любую учетную запись, полностью минуя стандартную проверку. Даже если администраторы меняли все пароли пользователей, хакеры продолжали входить через парадный вход .
2. Бесшумный сбор учетных данных. Каждый факт легитимного входа в систему перехватывался в реальном времени. Пароли всех аутентифицирующихся пользователей в открытом виде записывались в скрытый файл /usr/share/awk/nullfile.awk. Это позволяло Velvet Ant собирать действительные учетные данные по всей пользовательской базе, не создавая лишнего сетевого шума .

Почему стандартная очистка не сработала

Традиционные сценарии реагирования на инциденты не рассчитаны на противника, который перекомпилировал системные бинарные файлы входа. Отчет Sygnia ясно показывает, почему несколько первых попыток очистки провалились:

• Пробел в очистке. Стандартный порядок действий — удалить подозрительные файлы, завершить вредоносные процессы, сменить все пароли — никак не повлиял на основной механизм закрепления злоумышленников. Троянизированные pam_unix.so и бинарные файлы SSH по всем признакам были легитимными системными файлами, за исключением заложенной в них логики .
• Маскировка метаданных. Злоумышленники сохранили исходные имена, пути, временные метки и приблизительно те же размеры файлов. Любая проверка целостности, основанная только на метаданных (что широко распространено в корпоративных средах), не видела ничего подозрительного .
• Бессмысленность смены паролей. Поскольку жестко запрограммированный мастер-пароль находился в самом модуле аутентификации, сброс паролей всех пользователей никак не мешал злоумышленникам входить в систему .
• Самовосстанавливающаяся конструкция. Данные, собранные в ходе расследования, показали, что бэкдор был рассчитан на выживание после частичного восстановления. Если команда безопасности чистила несколько хостов, но оставляла скомпрометированный стек аутентификации на других, группировка могла снова переместиться по сети и повторно заразить пересобранные машины .

Окончательный шаг Sygnia по исправлению ситуации был однозначным: требовалась полная переустановка операционной системы на всех затронутых хостах с заведомо чистого, неперезаписываемого носителя. Выборочное удаление файлов или частичная перезаливка образов были неэффективны .

Характерные тактики группировки

Успех Velvet Ant опирается не на экзотические цепочки атак. Вместо этого группировка демонстрирует зрелый оперативный подход, основанный на терпении и камуфляже на уровне аутентификации.

Атрибуция и смежная активность

Sygnia с высокой уверенностью связывает операцию «Highland» с группировкой Velvet Ant и указывает на ее принадлежность к спонсируемому государством шпионажу в интересах Китая . Группировка фокусируется на крупных организациях в Восточной Азии, в частности на поставщиках телекоммуникационных услуг и объектах критической инфраструктуры .

Предыдущие и параллельные кампании дают дополнительный контекст. В отдельном случае Velvet Ant использовала устаревшие устройства F5 BIG-IP в качестве прокси для командных серверов (C2) в течение как минимум трех лет, прежде чем расследование Sygnia раскрыло эту активность . Группировка также была замечена за развертыванием вредоносного ПО PlugX и ShadowPad во время более ранних вторжений, что говорит о широком арсенале, включающем как самописные, так и общедоступные инструменты .

Что делать специалистам по защите информации

Самый важный оборонный урок «Operation Highland» заключается в том, что традиционной защиты конечных точек и регулярной смены паролей недостаточно, когда сам стек аутентификации не заслуживает доверия.

Специалистам по защите следует уделить первоочередное внимание мониторингу целостности файлов, который сравнивает криптографические хеш-суммы критических системных бинарных файлов — включая /lib/security/pam_unix.so и бинарные файлы демона SSH — с заведомо чистыми эталонами, а не полагаться только на метаданные. Также жизненно необходимо централизованно сохранять все события аутентификации во внешней неизменяемой системе, так как злоумышленник с достаточным уровнем доступа может подделать логи на самом хосте. Многофакторная аутентификация остается ценным барьером, но она не защищает напрямую от бэкдора в сервисе PAM, который полностью обходит проверки подлинности.

«Operation Highland» наглядно демонстрирует: самое опасное закрепление в системе выглядит вовсе не как вредоносное ПО — оно выглядит как приглашение ко входу, которому вы доверяете каждый день.