Newsletter Subscribe
Enter your email address below and subscribe to our newsletter

intelfusions+1intelfusionstechinformedKiinaan kytkeytyvä vakoiluryhmä asui hiljaa organisaation arkaluontoisimmassa verkossa lähes kymmenen vuoden ajan välttäen havaitsemisen kirjoittamalla uudelleen ohjelmiston, joka käsittelee käyttäjien kirjautumisia, kertoo tapauksia tutkivan Sygnia-yrityksen tällä viikolla julkaisema rikostekninen tutkimus.intelfusions
Tunkeutuminen, jota Sygnia kutsuu nimellä Operation Highland, on yhdistetty uhkatoimijaan, jota yritys seuraa nimellä Velvet Ant. Varhaisimmat rikostekniset jäljet juontavat vuoteen 2016, mikä tarkoittaa, että ryhmä ylläpiti pääsyä lähes vuosikymmenen ajan ennen kuin se löydettiin.intelfusions
Sen sijaan, että Velvet Ant olisi luottanut yhteen implanttiin, jonka puolustajat voisivat löytää ja poistaa, se korvasi pam_unix.so-tiedoston — Linuxin liitettävän todennusmoduulin, joka tarkistaa salasanat — ja useita OpenSSH-binäärejä takaporttiversioilla useissa isäntäkoneissa. Tämä antoi hyökkääjille piilotetun tavan kirjautua sisään minä tahansa käyttäjänä sekä sisäänrakennetun näppäilytallentimen, joka kaappasi oikeat kirjautumistiedot järjestelmänvalvojien kirjoittaessa niitä.intelfusions
Sygnia tunnisti yhdeksän erillistä versiota haitallisesta PAM-moduulista, joista jokainen oli koottu erillisessä ympäristössä, mikä viittaa hyvin resursoituun ja harkittuun operaatioon. Peukaloidut SSH-binäärit sisälsivät mukautetun lipun, joka esti niiden oman kirjautumistietojen lokituksen, antaen operaattoreille mahdollisuuden hallita rikosteknistä jälkeään aktiivisen toiminnan aikana.intelfusions
Kohdistetulla kriittisellä verkolla ei ollut suoraa internetyhteyttä. Velvet Ant saavutti sen monivaiheista sivuttaista reittiä pitkin: ensin vaarantamalla internetiin päin olevat palvelimet, sitten tunneloimalla yrityksen IT-verkon läpi käyttämällä muokattua versiota GS-Netcatista, joka oli nimetty uudelleen "auditdb":ksi ja sijoitettu /usr/sbin/-hakemistoon sulautumaan järjestelmän apuohjelmiin.intelfusions
Koska hyökkääjät hallitsivat etäkäyttöä ja järjestelmän hallintaa käsitteleviä komponentteja, tavanomaiset eristämistoimenpiteet osoittautuivat tehottomiksi. Takaovet selvisivät salasanan vaihdoista ja istuntojen päättämisistä. Sygnia korostaa, että vaarantuneiden binäärien virheellinen korvaaminen elävissä järjestelmissä voisi lukita järjestelmänvalvojat kokonaan ulos, ja että takaovet on poistettava ennen salasanojen nollaamista, jotta estetään kirjautumistietojen uudelleenvarkaus.sygnia+1
Yritys suosittelee PAM-moduulien ja OpenSSH-binäärien valvontaa odottamattomien muutosten varalta, kirjautumiseen liittyvien tiedostojen validointia tunnettuja hyviä lähtötasoja vasten sekä luvattomien authorized_keys-merkintöjen etsimistä.intelfusions
Tämä ei ole ensimmäinen kerta, kun Sygnia on dokumentoinut Velvet Antin pysyvyyteen keskittyviä menetelmiä. Yritys on aiemmin yhdistänyt ryhmän F5 BIG-IP -laitteiden väärinkäyttöön ja CVE-2024-20399-haavoittuvuuden, Cisco NX-OS:n nollapäivähaavoittuvuuden, hyödyntämiseen takaporttien asentamiseksi Nexus-kytkimiin. Jatkuva kuvio: kun Velvet Ant havaitaan, se siirtyy vähemmän valvottuun infrastruktuuriin ja rakentaa itsensä uudelleen.sygnia+1
Paljastus tulee laajemman varoitusaallon keskellä, joka koskee kiinalaisia kyberoperaatioita kriittistä infrastruktuuria vastaan. CrowdStrike raportoi tällä viikolla, että Kiinaan kytkeytyvät vastustajat vastasivat yli 58 prosentista valtion tukemista tunkeutumisista teknologiayrityksiin huhtikuun 2025 ja maaliskuun 2026 välisenä aikana.techinformed+1