Bên Trong Chiến Dịch Highland: Cách Velvet Ant Ẩn Mình Trong Hệ Thống Đăng Nhập Linux Suốt Một Thập Kỷ

Cách cửa hậu hoạt động

Thay vì thả mã độc tùy chỉnh mà các trình quét tệp hoặc giải pháp phát hiện điểm cuối có thể phát hiện, Velvet Ant đã lật đổ chính kiến trúc tin cậy của hệ điều hành. Trên hàng chục máy chủ, nhóm này đã thay thế một cách có hệ thống các thành phần xác thực cốt lõi của Linux — cụ thể là module xác thực pam_unix.so và các tệp nhị phân của OpenSSH — bằng các phiên bản đã bị cài cửa hậu .

Việc thay thế này cung cấp hai khả năng chỉ từ một lần cấy ghép duy nhất:

1. Vượt qua mật khẩu chính. Các module chứa một mật khẩu bí mật được mã hóa cứng. Bất kỳ tài khoản người dùng nào cũng có thể bị truy cập chỉ với mật khẩu này, hoàn toàn bỏ qua quy trình xác thực thông thường. Ngay cả khi quản trị viên xoay vòng mọi thông tin đăng nhập, kẻ tấn công vẫn có thể đường hoàng bước qua cửa chính .
2. Âm thầm thu thập thông tin đăng nhập. Mọi sự kiện đăng nhập hợp lệ đều bị ghi lại theo thời gian thực. Mật khẩu văn bản thuần túy của mọi người dùng đều bị ghi vào một tệp ẩn tại /usr/share/awk/nullfile.awk. Điều này cho phép Velvet Ant thu thập thông tin xác thực hợp lệ trên toàn bộ tập người dùng mà không tạo ra thêm bất kỳ tiếng ồn mạng nào từ việc di chuyển ngang .

Vì sao các biện pháp dọn dẹp tiêu chuẩn thất bại

Các quy trình ứng phó sự cố truyền thống không được xây dựng để đối phó với kẻ thù đã biên dịch lại các tệp nhị phân đăng nhập của hệ điều hành. Báo cáo của Sygnia làm rõ lý do vì sao nhiều nỗ lực dọn dẹp ban đầu đều thất bại:

• Lỗ hổng trong quy trình dọn dẹp. Quy trình tiêu chuẩn — xóa tệp đáng ngờ, dừng tiến trình độc hại, xoay vòng tất cả mật khẩu — không có bất kỳ tác dụng nào lên cơ chế duy trì sự hiện diện chính của kẻ tấn công. Các tệp pam_unix.so và SSH bị cài cửa hậu là các tệp hệ thống hợp lệ về mọi mặt, ngoại trừ logic đã bị biên dịch lại bên trong .
• Ngụy trang dữ liệu mô tả. Kẻ tấn công giữ nguyên tên tệp gốc, đường dẫn, dấu thời gian và kích thước tệp xấp xỉ như bản gốc. Bất kỳ công cụ kiểm tra toàn vẹn tệp nào chỉ dựa vào siêu dữ liệu — thường thấy ở nhiều môi trường doanh nghiệp — đều không phát hiện được điều gì bất thường .
• Sự vô ích của việc xoay vòng mật khẩu. Vì mật khẩu chính được mã hóa cứng nằm ngay bên trong module xác thực, việc đặt lại thông tin của mọi người dùng không thể khóa được kẻ địch .
• Thiết kế có khả năng tự tái lập. Bằng chứng thu thập được trong quá trình điều tra chỉ ra rằng cửa hậu được xây dựng để tồn tại qua các đợt xử lý một phần. Nếu đội ngũ bảo mật dọn dẹp một số máy nhưng vẫn để ngăn xác thực bị xâm phạm trên các máy khác, nhóm này có thể di chuyển ngang trở lại và tái xâm nhập các máy đã được xây dựng lại .

Bước khắc phục cuối cùng của Sygnia là không thể nhầm lẫn: toàn bộ mạng lưới cần được xây dựng lại hệ điều hành từ đầu cho mọi máy chủ bị ảnh hưởng, từ phương tiện chỉ đọc đã biết là sạch. Việc chỉ xóa tệp có chọn lọc hay tạo lại ảnh hệ thống một phần là không đủ .

Khuôn mẫu chiến thuật

Thành công của Velvet Ant không dựa vào các chuỗi tấn công ngoại lai. Thay vào đó, nhóm này thể hiện một cuốn sổ tay chiến thuật chín muồi, tập trung vào sự kiên nhẫn và khả năng ngụy trang ở tầng xác thực.

Quy kết và Hoạt động liên quan

Sygnia quy kết Chiến dịch Highland cho Velvet Ant với độ tin cậy cao và liên kết nhóm này với các mục tiêu gián điệp được nhà nước Trung Quốc bảo trợ . Nhóm này tập trung vào các tổ chức lớn ở Đông Á, đặc biệt là các nhà cung cấp dịch vụ viễn thông và cơ sở hạ tầng trọng yếu .

Các chiến dịch trước đây và song song cung cấp thêm bối cảnh. Trong một vụ việc riêng biệt, Velvet Ant đã sử dụng các thiết bị F5 BIG-IP đời cũ làm máy chủ điều khiển và kiểm soát (C2) trong ít nhất ba năm trước khi cuộc điều tra của Sygnia phát hiện ra hoạt động này . Nhóm này cũng đã bị quan sát thấy triển khai các mã độc PlugX và ShadowPad trong các vụ xâm nhập trước đó, cho thấy một bộ công cụ rộng bao gồm cả các khả năng tùy chỉnh và công khai .

Các đội ngũ bảo mật cần làm gì ngay bây giờ

Bài học phòng thủ quan trọng nhất từ Chiến dịch Highland là: bảo vệ điểm cuối truyền thống và xoay vòng thông tin đăng nhập là không đủ khi chính ngăn xác thực không còn đáng tin cậy.

Các đội ngũ bảo mật nên ưu tiên giám sát toàn vẹn tệp, so sánh mã băm mật mã của các tệp nhị phân hệ thống trọng yếu — bao gồm /lib/security/pam_unix.so và các tệp nhị phân của trình nền SSH — với các đường cơ sở đã biết là sạch, thay vì chỉ kiểm tra siêu dữ liệu tệp. Việc ghi lại tất cả các sự kiện xác thực tập trung vào một hệ thống bên ngoài, bất biến cũng rất cần thiết, vì kẻ tấn công với đủ quyền truy cập có thể can thiệp vào nhật ký trên máy chủ. Xác thực đa yếu tố vẫn là một rào cản giá trị, nhưng nó không trực tiếp bảo vệ khỏi một dịch vụ PAM đã bị cài cửa hậu có khả năng bỏ qua hoàn toàn các bước kiểm tra xác thực.

Chiến dịch Highland cho thấy rằng sự hiện diện nguy hiểm nhất không hề giống mã độc — nó trông giống hệt như lời nhắc đăng nhập mà bạn tin tưởng mỗi ngày.