คำตอบเผยแพร่แล้ว17 ชั่วโมงที่ผ่านมาLast edited 17 ชั่วโมงที่ผ่านมา18 แหล่งที่มา

ปฏิบัติการไฮแลนด์: แกะรอย Velvet Ant ฝังตัวในระบบล็อกอินลินุกซ์นานนับสิบปี

การสอบสวนปฏิบัติการไฮแลนด์ของ Sygnia พบว่ากลุ่ม Velvet Ant ที่มีสายสัมพันธ์กับจีน ซ่อนตัวในเครือข่ายที่มีความอ่อนไหวสูงและแยกขาดจากอินเทอร์เน็ต (Air Gapped) นานเกือบ 10 ปี ด้วยการแทนที่โมดูล pam unix.so ของลินุกซ์และโ... มาตรการรับมือมาตรฐาน เช่น การลบไฟล์ การหยุดกระบวนการ และการเปลี่ยนรหัสผ่าน ไม่ส่งผลใดๆ เลย เพราะ...

ค้นหาและตรวจสอบข้อเท็จจริงด้วย Studio Global AI ดูหน้าที่กำลังมาแรงเพิ่มเติม

1010

Abstract visualization of Linux authentication stack being backdoored by Velvet Ant's Operation Highland campaign — What did Sygnia's forensic investigation of "Operation Highland" reveal about how the China-linked threat group Velvet Ant compromised and mVelvet Ant’s Operation Highland campaign subverted the Linux login system itself — replacing core authentication binaries to maintain access for nearly a decade. Image generated by AI.
AI พรอมต์
Create a landscape editorial hero image for this Studio Global article: What did Sygnia's forensic investigation of "Operation Highland" reveal about how the China-linked threat group Velvet Ant compromised and m. Article summary: ## Sygnia's "Operation Highland" Findings on Velvet Ant. Topic tags: general, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "Discover the detailed forensic investigation by Sygnia into the sophisticated cyber attack by Velvet Ant on a major organization. The investigation confirmed the threat actor maint" source context "China-Nexus Threat Group 'Velvet Ant' Abuses F5 Load Balancers ..." Reference image 2: visual subject "Velvet Ant Activity Detection: China-Backed Cyber-Espionage Group Launches a Prolonged Attack Using Malware Deployed on the F5 BIG-IP Devices. The China-linked cyber-espionage gr
openai.com

Sygnia บริษัทด้านการรับมือภัยคุกคามทางไซเบอร์จากอิสราเอล ได้เผยแพร่ผลการสืบสวนในชื่อ ปฏิบัติการไฮแลนด์ (Operation Highland) ซึ่งเปิดโปงหนึ่งในปฏิบัติการจารกรรมทางไซเบอร์ที่ดำเนินมาอย่างยาวนานและมีวินัยมากที่สุดในความทรงจำช่วงหลังนี้ กิจกรรมดังกล่าวได้รับการระบุด้วยความมั่นใจสูงว่ามาจากกลุ่มภัยคุกคามที่มีสายสัมพันธ์กับจีน ซึ่ง Sygnia ใช้ชื่อติดตามว่า Velvet Ant ปฏิบัติการนี้ไม่ได้ถูกนิยามด้วยช่องโหว่ซีโร่เดย์ตัวใหม่เพียงตัวเดียว แต่เกิดจากแนวคิดที่เรียบง่ายอย่างไร้ความปรานี นั่นคือ การเข้าไปอาศัยอยู่ในซอฟต์แวร์ที่ทำหน้าที่ตัดสินว่าใครมีสิทธิ์เข้าสู่ระบบได้

เจาะลึกการบุกรุกยาวนานนับทศวรรษ ทีละขั้นตอน

เครือข่ายของเหยื่อไม่มีการเชื่อมต่ออินเทอร์เน็ตโดยตรงและเป็นที่ตั้งของระบบที่มีความอ่อนไหวสูง เส้นเวลาทางนิติวิทยาศาสตร์ของ Sygnia ระบุว่าผู้บุกรุกได้วางรากฐานอย่างน้อยที่สุดตั้งแต่ปี 2016 ทำให้กลุ่มสามารถอาศัยอยู่ในสภาพแวดล้อมดังกล่าวได้นานถึงเกือบสิบปี

จุดเริ่มต้นของการโจมตี การรั่วไหลของข้อมูลน่าจะเริ่มต้นจากอุปกรณ์ F5 BIG-IP รุ่นเก่าที่ไม่ได้อัปเดตแพตช์และเชื่อมต่อกับอินเทอร์เน็ต ซึ่งองค์กรไม่ได้ปลดระวางออกไป เมื่อผู้โจมตีควบคุมอุปกรณ์นี้ได้แล้ว พวกเขาก็ใช้มันเป็นจุดเชื่อมต่อเพื่อเจาะลึกลงไปอีก จนในที่สุดก็สามารถเข้าถึงเครือข่ายภายในที่ถูกตัดขาดจากโลกภายนอกได้

กลไกของแบ็คดอร์ทำงานอย่างไร

แทนที่จะปล่อยมัลแวร์ที่สแกนเนอร์ไฟล์หรือระบบตรวจจับจุดสิ้นสุดอาจพบเจอได้ในที่สุด Velvet Ant กลับเลือกที่จะบ่อนทำลายสถาปัตยกรรมความน่าเชื่อถือของระบบปฏิบัติการเอง โดยบนเซิร์ฟเวอร์จำนวนมาก กลุ่มได้แทนที่องค์ประกอบหลักในการตรวจสอบสิทธิ์ของลินุกซ์อย่างเป็นระบบ ซึ่งได้แก่ โมดูล แบบ PAM (Pluggable Authentication Module) และโปรแกรม OpenSSH หลายตัว ด้วยเวอร์ชันที่ติดตั้งโทรจันไว้

Studio Global AI

Search, cite, and publish your own answer

Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.

ค้นหาและตรวจสอบข้อเท็จจริงด้วย Studio Global AI

คนยังถาม

คำตอบสั้น ๆ สำหรับ "ปฏิบัติการไฮแลนด์: แกะรอย Velvet Ant ฝังตัวในระบบล็อกอินลินุกซ์นานนับสิบปี" คืออะไร

ประเด็นสำคัญที่ต้องตรวจสอบก่อนคืออะไร?

ฉันควรทำอย่างไรต่อไปในทางปฏิบัติ?

กลยุทธ์ของกลุ่มมุ่งเน้นความอดทนขั้นสูงและการโค่นล้มระบบพิสูจน์ตัวตน มากกว่าความใหม่ทางเทคนิค ทำให้ผู้ดูแลระบบต้องหันมาให้ความสำคัญกับการตรวจสอบความถูกต้องของไฟล์ระบบในระดับแฮช (Cryptographic Hash) อย่างเข้มงวด

แหล่งที่มา

Comments

0 comments

Loading comments...

รูปแบบปฏิบัติการ	พฤติกรรมที่สังเกตพบ
การเข้าถึงเริ่มต้นจากขอบเครือข่าย	ใช้ประโยชน์จากอุปกรณ์เอนเตอร์ไพรส์ที่ไม่ได้แพตช์ โดยเฉพาะ F5 BIG-IP และ Cisco Nexus switches ที่เชื่อมต่อกับอินเทอร์เน็ตเพื่อเป็นหัวหาดเข้าสู่เครือข่ายภายใน .
การบ่อนทำลายการตรวจสอบสิทธิ์ในฐานะอิมแพลนต์หลัก	หลีกเลี่ยงการติดตั้งโทรจันรีโมทแอคเซส (RAT) แบบเดิมบนจุดสิ้นสุด แต่แทนที่องค์ประกอบที่ตรวจสอบการล็อกอินของผู้ใช้ทั่วทั้งระบบลินุกซ์ .
ระบบตาข่ายการคงอยู่ที่ซ้ำซ้อน	รักษาฐานที่มั่นหลายแห่งในส่วนเครือข่ายต่างๆ เพื่อที่การสูญเสียจุดเชื่อมต่อหนึ่ง หรือแม้แต่อุปกรณ์ทั้งชิ้น จะไม่ทำให้ปฏิบัติการสิ้นสุดลง .
การใช้ชีวิตนอกแผ่นดิน (Living-off-the-Land)	เคลื่อนที่ด้านข้างโดยใช้ข้อมูลประจำตัวที่ขโมยมาและเครื่องมือจัดการระบบมาตรฐาน เช่น SSH ทำให้เหลือลายเซ็นมัลแวร์ที่กำหนดเองน้อยที่สุดให้เครื่องมือตรวจจับหาเจอ .
การเก็บเกี่ยวข้อมูลประจำตัวระดับอุตสาหกรรม	จับรหัสผ่านแบบไม่เข้ารหัสจากการล็อกอินสำเร็จทุกครั้งทั่วเครือข่าย สะสมอัตลักษณ์ที่ถูกต้องอย่างต่อเนื่องโดยไม่มีสัญญาณรบกวนเครือข่ายเพิ่มเติม .
ระยะเวลาการอยู่อาศัยที่ยาวนานมาก	ปฏิบัติการกินเวลานานหลายปีแทนที่จะเป็นหลายวันหรือหลายสัปดาห์ จังหวะที่ช้าและเนียนนี้หมายความว่าช่วงเวลาเก็บรักษาบันทึกที่สั้นและการบำรุงรักษาระบบตามปกติสามารถลบหลักฐานทางนิติวิทยาศาสตร์ได้ .