Newsletter Subscribe
Enter your email address below and subscribe to our newsletter

intelfusions+1intelfusionstechinformedŠpionážní skupina napojená na Čínu tiše obývala nejcitlivější síť organizace téměř deset let a vyhýbala se odhalení přepisováním samotného softwaru, který zpracovává přihlašování uživatelů, uvádí forenzní vyšetřování zveřejněné tento týden firmou Sygnia, která se zabývá reakcí na incidenty.intelfusions
Průnik, který Sygnia nazývá Operace Highland, je připisován hrozbě, kterou firma sleduje pod názvem Velvet Ant. Nejstarší forenzní stopy sahají až do roku 2016, což znamená, že skupina si udržovala přístup téměř deset let, než byla objevena.intelfusions
Namísto spoléhání se na jediný implantát, který by obránci mohli najít a odstranit, nahradila skupina Velvet Ant soubor pam_unix.so – modul Linux Pluggable Authentication Module, který kontroluje hesla – a několik binárních souborů OpenSSH verzemi se zadními vrátky na mnoha hostitelích. To útočníkům poskytlo skrytý způsob, jak se přihlásit jako jakýkoli uživatel, a vestavěný keylogger, který zachytil legitimní přihlašovací údaje, když je správci zadávali.intelfusions
Sygnia identifikovala devět odlišných variant škodlivého modulu PAM, z nichž každá byla zkompilována v samostatném vývojovém prostředí, což ukazuje na dobře vybavenou a promyšlenou operaci. Upravené binární soubory SSH nesly vlastní příznak pro potlačení vlastního protokolování přihlašovacích údajů, což operátorům umožnilo spravovat svou forenzní stopu během živé aktivity.intelfusions
Cílová kritická síť neměla přímé připojení k internetu. Velvet Ant se k ní dostala prostřednictvím vícestupňové boční cesty: nejprve kompromitovala servery směřující do internetu, poté tunelovala přes firemní IT síť pomocí upravené verze GS-Netcat přejmenované na „auditdb“ a umístěné do /usr/sbin/, aby splynula se systémovými nástroji.intelfusions
Protože útočníci ovládali komponenty, které zajišťují vzdálený přístup a správu systému, ukázaly se standardní kroky zadržení jako neúčinné. Zadní vrátka přežila změny hesel a ukončení relací. Sygnia zdůrazňuje, že nesprávná výměna kompromitovaných binárních souborů na živých systémech by mohla správce zcela uzamknout a že zadní vrátka musí být odstraněna před resetováním hesel, aby se zabránilo opětovnému odcizení přihlašovacích údajů.sygnia+1
Firma doporučuje sledovat moduly PAM a binární soubory OpenSSH kvůli neočekávaným změnám, ověřovat soubory související s přihlašováním proti známým dobrým základním liniím a hledat neautorizované položky authorized_keys.intelfusions
Není to poprvé, co Sygnia zdokumentovala řemeslné postupy Velvet Ant zaměřené na vytrvalost. Firma již dříve spojila skupinu se zneužitím zařízení F5 BIG-IP a využitím CVE-2024-20399, zero-day zranitelnosti v Cisco NX-OS, k instalaci zadních vrátek na přepínače Nexus. Konzistentní vzorec: jakmile je Velvet Ant odhalena, přejde na méně monitorovanou infrastrukturu a znovu se vybuduje.sygnia+1
Zveřejnění přichází uprostřed širší vlny varování před čínskými kybernetickými operacemi proti kritické infrastruktuře. Společnost CrowdStrike tento týden uvedla, že protivníci napojení na Čínu stáli za více než 58 % státem sponzorovaných útoků na technologické subjekty mezi dubnem 2025 a březnem 2026.techinformed+1