Операція Highland: Як Velvet Ant десятиліття ховався в системі входу Linux

Як працював бекдор

Замість того, щоб встановлювати спеціальне шкідливе ПЗ, яке могли б з часом виявити файлові сканери або системи виявлення кінцевих точок (EDR), Velvet Ant підірвав саму архітектуру довіри операційної системи. На десятках хостів угруповання систематично замінювало основні компоненти автентифікації Linux — зокрема, модуль pam_unix.so (плагін системи PAM, що відповідає за стандартну парольну автентифікацію) та кілька бінарних файлів OpenSSH — на троянізовані версії .

Ця підміна забезпечувала дві можливості з одного імпланта:

1. Обхід з майстер-паролем. Зламані модулі містили жорстко закодований секретний пароль. З його допомогою можна було отримати доступ до будь-якого облікового запису користувача, повністю обходячи звичайну автентифікацію. Навіть якщо адміністратори змінювали всі облікові дані, зловмисники все одно могли «зайти через парадний вхід» .
2. Непомітне збирання облікових даних. Кожна легітимна подія входу перехоплювалася в реальному часі. Паролі у відкритому тексті для кожного користувача, який проходив автентифікацію, записувалися у прихований файл за шляхом /usr/share/awk/nullfile.awk. Це дозволяло Velvet Ant збирати дійсні облікові дані по всій базі користувачів без зайвого шуму від бічного переміщення .

Чому стандартне очищення не спрацювало

Традиційні протоколи реагування на інциденти не розраховані на противника, який перекомпілював системні бінарні файли входу у вашій ОС. Звіт Sygnia чітко пояснює, чому перші кілька спроб очищення були невдалими:

• Прогалина в очищенні. Стандартний алгоритм дій — видалити підозрілі файли, зупинити шкідливі процеси, змінити всі паролі — не мав жодного впливу на основний механізм закріплення зловмисників. Троянізовані бінарні файли pam_unix.so та SSH були легітимними системними файлами в усьому, крім їхньої скомпільованої логіки .
• Маскування метаданих. Атакувальники зберегли оригінальні імена файлів, шляхи, часові мітки та приблизно однаковий розмір. Будь-яка перевірка цілісності, що покладається лише на метадані файлів (що є звичною практикою в багатьох корпоративних середовищах), не виявляла жодних проблем .
• Марність зміни паролів. Оскільки жорстко закодований майстер-пароль знаходився всередині самого модуля автентифікації, скидання облікових даних кожного користувача не заважало зловмисникам .
• Самовідновлювальна конструкція. Докази, зібрані під час розслідування, свідчать, що бекдор був спроектований для виживання після часткового очищення. Якщо команда безпеки очищала кілька хостів, але залишала стек автентифікації скомпрометованим на інших, угруповання могло знову переміститися бічно і повторно заразити відбудовані машини .

Остаточний крок Sygnia з усунення наслідків був однозначним: мережа потребувала повної перебудови операційної системи кожного ураженого хоста з відомо-чистого носія. Видалення окремих файлів або часткове перевстановлення було недостатнім .

Характерні риси тактики

Успіх Velvet Ant не залежить від екзотичних ланцюжків атак. Натомість угруповання демонструє продуманий оперативний план, зосереджений на терпінні та камуфляжі на рівні автентифікації.

Атрибуція та пов'язана активність

Sygnia з високою впевненістю приписує операцію Highland угрупованню Velvet Ant та пов'язує її з цілями китайського державного шпигунства . Угруповання зосереджується на великих організаціях у Східній Азії, зокрема на телекомунікаційних провайдерах та об'єктах критичної інфраструктури .

Попередні та паралельні кампанії надають додатковий контекст. В окремому випадку Velvet Ant використовував застарілі пристрої F5 BIG-IP як проксі для командно-контрольних серверів (C2) щонайменше три роки, перш ніж розслідування Sygnia виявило цю активність . Також було помічено, що під час попередніх вторгнень угруповання використовувало шкідливе ПЗ PlugX та ShadowPad, що свідчить про широкий арсенал, який охоплює як власні, так і загальнодоступні інструменти .

Що робити захисникам вже зараз

Найважливіший урок безпеки з Operation Highland полягає в тому, що традиційного захисту кінцевих точок і зміни облікових даних недостатньо, коли сам стек автентифікації є ненадійним.

Захисники повинні надавати пріоритет моніторингу цілісності файлів (FIM), який порівнює криптографічні хеші критичних системних бінарних файлів — включно з /lib/security/pam_unix.so та бінарними файлами демона SSH — з відомими чистими еталонами, а не лише перевіряти метадані. Також важливо централізовано збирати всі події автентифікації в незмінну зовнішню систему, оскільки атакувальник із достатнім рівнем доступу може підробити журнали на хості. Багатофакторна автентифікація (MFA) залишається цінним бар'єром, але вона не захищає безпосередньо від бекдору в сервісі PAM, який повністю обходить перевірку автентифікації.

Operation Highland демонструє, що найнебезпечніша форма закріплення в системі взагалі не схожа на шкідливе ПЗ — вона виглядає як вікно входу, якому ви довіряєте щодня.