Newsletter Subscribe
Enter your email address below and subscribe to our newsletter

intelfusions+1intelfusionstechinformedΜια ομάδα κατασκοπείας που συνδέεται με την Κίνα κατοικούσε αθόρυβα στο πιο ευαίσθητο δίκτυο ενός οργανισμού για σχεδόν δέκα χρόνια, αποφεύγοντας τον εντοπισμό μέσω της επανεγγραφής του ίδιου του λογισμικού που διαχειρίζεται τις συνδέσεις χρηστών, σύμφωνα με μια εγκληματολογική έρευνα που δημοσιεύθηκε αυτή την εβδομάδα από την εταιρεία αντιμετώπισης περιστατικών Sygnia.intelfusions
Η εισβολή, την οποία η Sygnia ονομάζει Operation Highland, αποδίδεται σε έναν δρώντα απειλών που η εταιρεία παρακολουθεί ως Velvet Ant. Τα πρώτα εγκληματολογικά ίχνη χρονολογούνται από το 2016, πράγμα που σημαίνει ότι η ομάδα διατήρησε πρόσβαση για σχεδόν μια δεκαετία πριν ανακαλυφθεί.intelfusions
Αντί να βασίζεται σε ένα μόνο εμφύτευμα που οι αμυνόμενοι θα μπορούσαν να βρουν και να αφαιρέσουν, η Velvet Ant αντικατέστησε το pam_unix.so — την ενότητα Pluggable Authentication Module του Linux που ελέγχει τους κωδικούς πρόσβασης — και αρκετά δυαδικά αρχεία OpenSSH με εκδόσεις που περιείχαν κερκόπορτες σε πολλούς κεντρικούς υπολογιστές. Αυτό έδωσε στους επιτιθέμενους μια κρυφή παράκαμψη για να συνδεθούν ως οποιοσδήποτε χρήστης και έναν ενσωματωμένο keylogger που κατέγραφε νόμιμα διαπιστευτήρια καθώς οι διαχειριστές τα πληκτρολογούσαν.intelfusions
Η Sygnia εντόπισε εννέα διαφορετικές παραλλαγές της κακόβουλης ενότητας PAM, καθεμία από τις οποίες μεταγλωττίστηκε σε ξεχωριστό περιβάλλον δημιουργίας, υποδεικνύοντας μια καλά χρηματοδοτούμενη και σκόπιμη επιχείρηση. Τα παραποιημένα δυαδικά αρχεία SSH έφεραν μια προσαρμοσμένη σημαία για την καταστολή της δικής τους καταγραφής διαπιστευτηρίων, επιτρέποντας στους χειριστές να διαχειρίζονται το εγκληματολογικό τους αποτύπωμα κατά τη διάρκεια ζωντανής δραστηριότητας.intelfusions
Το στοχευμένο κρίσιμο δίκτυο δεν είχε άμεση σύνδεση στο διαδίκτυο. Η Velvet Ant έφτασε σε αυτό μέσω μιας πλευρικής διαδρομής πολλαπλών σταδίων: αρχικά παραβιάζοντας διακομιστές που ήταν εκτεθειμένοι στο διαδίκτυο και στη συνέχεια δημιουργώντας σήραγγα μέσω του εταιρικού δικτύου πληροφορικής χρησιμοποιώντας μια τροποποιημένη έκδοση του GS-Netcat που μετονομάστηκε σε "auditdb" και τοποθετήθηκε στο /usr/sbin/ για να ενσωματωθεί με τα βοηθητικά προγράμματα του συστήματος.intelfusions
Επειδή οι επιτιθέμενοι έλεγχαν τα στοιχεία που διαχειρίζονται την απομακρυσμένη πρόσβαση και τη διαχείριση συστημάτων, τα τυπικά βήματα περιορισμού αποδείχθηκαν αναποτελεσματικά. Οι κερκόπορτες επιβίωσαν από αλλαγές κωδικών πρόσβασης και τερματισμούς συνεδριών. Η Sygnia τονίζει ότι οι λανθασμένες αντικαταστάσεις παραβιασμένων δυαδικών αρχείων σε ζωντανά συστήματα θα μπορούσαν να αποκλείσουν εντελώς τους διαχειριστές και ότι οι κερκόπορτες πρέπει να αφαιρεθούν πριν από την επαναφορά των κωδικών πρόσβασης για να αποφευχθεί η εκ νέου κλοπή διαπιστευτηρίων.sygnia+1
Η εταιρεία συνιστά την παρακολούθηση των ενοτήτων PAM και των δυαδικών αρχείων OpenSSH για απροσδόκητες αλλαγές, την επικύρωση αρχείων που σχετίζονται με τη σύνδεση έναντι γνωστών καλών βάσεων αναφοράς και την αναζήτηση μη εξουσιοδοτημένων καταχωρήσεων authorized_keys.intelfusions
Αυτή δεν είναι η πρώτη φορά που η Sygnia τεκμηριώνει την τεχνογνωσία της Velvet Ant που εστιάζει στην επιμονή. Η εταιρεία είχε συνδέσει προηγουμένως την ομάδα με την κατάχρηση συσκευών F5 BIG-IP και την εκμετάλλευση του CVE-2024-20399, ενός zero-day στην Cisco NX-OS, για την τοποθέτηση κερκόπορτων σε διακόπτες Nexus. Το συνεπές μοτίβο: όταν εντοπίζεται, η Velvet Ant στρέφεται σε λιγότερο παρακολουθούμενη υποδομή και ανασυντάσσεται.sygnia+1
Η αποκάλυψη έρχεται εν μέσω ενός ευρύτερου κύματος προειδοποιήσεων σχετικά με κινεζικές κυβερνοεπιχειρήσεις κατά κρίσιμων υποδομών. Η CrowdStrike ανέφερε αυτή την εβδομάδα ότι οι αντίπαλοι που συνδέονται με την Κίνα οδήγησαν περισσότερο από το 58% των κρατικά υποστηριζόμενων εισβολών κατά τεχνολογικών οντοτήτων μεταξύ Απριλίου 2025 και Μαρτίου 2026.techinformed+1