Operation Highland: Så gömde sig kinesiska spioner i Linux inloggningssystem i tio år

Så fungerade bakdörren

Istället för att plantera skräddarsydd skadlig kod som filskannrar eller endpoint-skydd så småningom kunde flagga, vände sig Velvet Ant mot operativsystemets egen tillitsarkitektur. På dussintals värddatorer ersatte gruppen systematiskt centrala Linux-komponenter för autentisering – specifikt den pluggbara autentiseringsmodulen pam_unix.so och flera OpenSSH-binärer – med manipulerade versioner .

Denna enda manipulation gav två kraftfulla funktioner:

1. Huvudlösenord som genväg. De manipulerade modulerna innehöll ett hårdkodat hemligt lösenord. Vilket användarkonto som helst kunde nås med bara detta lösenord, vilket helt kringgick den normala autentiseringen. Även om administratörerna skulle rotera alla användaruppgifter kunde angriparna fortfarande kliva rakt in genom ytterdörren .
2. Tyst insamling av lösenord. Varje legitim inloggning fångades upp i realtid. Användarnas lösenord i klartext skrevs till en dold fil på sökvägen /usr/share/awk/nullfile.awk. Detta gjorde att Velvet Ant kunde samla in giltiga inloggningsuppgifter från hela användarbasen utan att skapa ytterligare nätverksbrus .

Varför vanlig sanering misslyckades

Traditionella metoder för incidenthantering är inte byggda för en motståndare som har kompilerat om operativsystemets inloggningsbinärer. Sygnias rapport visar tydligt varför de första saneringsförsöken inte fungerade:

• Saneringsblinda fläckar. Standardåtgärderna – ta bort misstänkta filer, döda skadliga processer, byt alla lösenord – hade ingen effekt alls på angriparens primära metod för uthållighet. De manipulerade pam_unix.so- och SSH-binärerna var legitima systemfiler på alla sätt utom i sin kompilerade logik .
• Maskering av metadata. Angriparna bevarade originalfilernas namn, sökvägar, tidsstämplar och ungefärliga filstorlekar. Alla integritetskontroller som enbart förlitade sig på filmetadata – vilket är vanligt i många företagsmiljöer – såg inget avvikande .
• Meningslös lösenordsrotation. Eftersom det hårdkodade huvudlösenordet fanns inuti själva autentiseringsmodulen hjälpte det inte att återställa alla användares lösenord – angriparen kunde ändå logga in .
• Självåterställande design. Bevis från utredningen visade att bakdörren var byggd för att överleva delvis sanering. Om säkerhetsteamet rensade några värddatorer men lät autentiseringsstacken vara manipulerad på andra, kunde gruppen förflytta sig i sidled igen och återkompromettera de återställda maskinerna .

Sygnias slutgiltiga åtgärdssteg var entydigt: nätverket krävde en fullständig ombyggnad av operativsystemet på varje drabbad värddator från känt, skrivskyddat medium. Att selektivt ta bort filer eller delvis återställa system var inte tillräckligt .

Mönstret i gruppens tillvägagångssätt

Velvet Ants framgång bygger inte på exotiska attackkedjor. Istället uppvisar gruppen ett moget operativt spelsätt som fokuserar på tålamod och kamouflage i autentiseringslagret.

Attribution och relaterad aktivitet

Sygnia tillskriver Operation Highland till Velvet Ant med hög säkerhet och kopplar gruppen till Kina-stödda spionagemål . Gruppen fokuserar på stora organisationer i Östasien, särskilt telekommunikationsföretag och kritisk infrastruktur .

Tidigare och parallella kampanjer ger ytterligare sammanhang. I ett annat fall använde Velvet Ant äldre F5 BIG-IP-apparater som proxy för kommando- och kontrolltrafik i minst tre år innan Sygnias utredning upptäckte aktiviteten . Gruppen har också observerats använda skadlig programvara som PlugX och ShadowPad vid tidigare intrång, vilket indikerar en bred verktygslåda som spänner över både skräddarsydda och allmänt tillgängliga metoder .

Vad försvarare måste göra nu

Den enskilt viktigaste försvarsläxan från Operation Highland är att traditionellt slutpunktsskydd och lösenordsrotation inte räcker när själva autentiseringsstacken är opålitlig.

Försvarare bör prioritera filintegritetsövervakning som jämför kryptografiska hashvärden för kritiska systembinärer – inklusive /lib/security/pam_unix.so och SSH-daemonens binärer – mot kända originalversioner, inte bara mot filmetadata. Att logga alla autentiseringshändelser centralt till ett externt, oföränderligt system är också avgörande, eftersom en angripare med tillräcklig åtkomst kan manipulera loggar på den lokala värddatorn. Multifaktorautentisering är fortfarande en värdefull barriär, men den skyddar inte direkt mot en manipulerad PAM-tjänst som helt kringgår autentiseringskontroller.

Operation Highland visar att den farligaste uthålligheten inte liknar skadlig kod alls – den ser ut som inloggningsprompten du litar på varje dag.