Newsletter Subscribe
Enter your email address below and subscribe to our newsletter

intelfusions+1intelfusionstechinformedՉինաստանի հետ կապված լրտեսական խումբը գրեթե տասը տարի լուռ բնակվել է կազմակերպության ամենազգայուն ցանցում՝ խուսափելով հայտնաբերումից այն ծրագրային ապահովման վերաշարադրման միջոցով, որը կարգավորում է օգտատերերի մուտքը, ասվում է միջադեպերին արձագանքող Sygnia ընկերության կողմից այս շաբաթ հրապարակված դատաբժշկական հետաքննության մեջ:intelfusions
Ներխուժումը, որը Sygnia-ն անվանում է Operation Highland, վերագրվում է սպառնալիքի դերակատարին, որին ընկերությունը հետևում է Velvet Ant անունով: Ամենավաղ դատաբժշկական հետքերը թվագրվում են 2016 թվականով, ինչը նշանակում է, որ խումբը մուտքը պահպանել է գրեթե մեկ տասնամյակ՝ նախքան հայտնաբերվելը:intelfusions
Փոխանակ հիմնվելու մեկ իմպլանտի վրա, որը պաշտպանները կարող էին գտնել և հեռացնել, Velvet Ant-ը փոխարինել է pam_unix.so-ն՝ Linux-ի վավերացման մոդուլը, որը ստուգում է գաղտնաբառերը, և մի քանի OpenSSH երկուական ֆայլեր բազմաթիվ հոսթերում՝ հետին դռներ ունեցող տարբերակներով: Սա հարձակվողներին տվեց թաքնված շրջանցման ուղի՝ ցանկացած օգտատիրոջ անունով մուտք գործելու համար, և ներկառուցված keylogger, որը գրավում էր օրինական հավատարմագրերը, երբ ադմինիստրատորները մուտքագրում էին դրանք:intelfusions
Sygnia-ն նույնականացրել է վնասակար PAM մոդուլի ինը տարբեր տարբերակներ, որոնցից յուրաքանչյուրը կազմվել է առանձին կառուցման միջավայրում, ինչը ցույց է տալիս լավ ռեսուրսներով ապահովված և կանխամտածված գործողություն: Փոփոխված SSH երկուական ֆայլերը կրում էին հատուկ դրոշ՝ իրենց սեփական հավատարմագրերի գրանցումը ճնշելու համար, ինչը օպերատորներին թույլ էր տալիս կառավարել իրենց դատաբժշկական հետքը կենդանի գործունեության ընթացքում:intelfusions
Թիրախային կրիտիկական ցանցը չուներ ուղղակի ինտերնետ կապ: Velvet Ant-ը հասել է դրան բազմաստիճան կողային ուղու միջոցով՝ նախ կոմպրոմետացնելով ինտերնետին հասանելի սերվերները, այնուհետև թունելավորելով կորպորատիվ ՏՏ ցանցի միջով՝ օգտագործելով GS-Netcat-ի փոփոխված տարբերակը, որը վերանվանվել է "auditdb" և գցվել /usr/sbin/՝ համակարգային օգտակար ծրագրերի հետ միաձուլվելու համար:intelfusions
Քանի որ հարձակվողները վերահսկում էին հեռավոր մուտքը և համակարգի կառավարումը կարգավորող բաղադրիչները, ստանդարտ զսպման քայլերը անարդյունավետ եղան: Հետին դռները վերապրեցին գաղտնաբառերի փոփոխությունները և սեսիաների ընդհատումները: Sygnia-ն ընդգծում է, որ կենդանի համակարգերում կոմպրոմետացված երկուական ֆայլերի սխալ փոխարինումը կարող է ամբողջությամբ արգելափակել ադմինիստրատորներին, և որ հետին դռները պետք է հեռացվեն գաղտնաբառերը վերակայելուց առաջ՝ հավատարմագրերի կրկնակի գողությունը կանխելու համար:sygnia+1
Ընկերությունը խորհուրդ է տալիս վերահսկել PAM մոդուլները և OpenSSH երկուական ֆայլերը անսպասելի փոփոխությունների համար, վավերացնել մուտքի հետ կապված ֆայլերը հայտնի-լավ բազային գծերի համեմատ և որոնել չարտոնված authorized_keys գրառումներ:intelfusions
Սա առաջին դեպքը չէ, երբ Sygnia-ն փաստագրում է Velvet Ant-ի հաստատակամության վրա կենտրոնացած արհեստը: Ընկերությունը նախկինում խմբին կապել է F5 BIG-IP սարքերի չարաշահման և CVE-2024-20399-ի շահագործման հետ, որը Cisco NX-OS-ի զրոյական օրվա խոցելիություն է, Nexus անջատիչների վրա հետին դռներ տեղադրելու համար: Հետևողական օրինաչափությունը. երբ հայտնաբերվում են, Velvet Ant-ը անցնում է ավելի քիչ վերահսկվող ենթակառուցվածքի և վերակառուցվում:sygnia+1
Բացահայտումը տեղի է ունենում կրիտիկական ենթակառուցվածքների դեմ չինական կիբերգործողությունների մասին նախազգուշացումների ավելի լայն ալիքի ֆոնին: CrowdStrike-ը այս շաբաթ հայտնել է, որ Չինաստանի հետ կապված հակառակորդները 2025 թվականի ապրիլից մինչև 2026 թվականի մարտը տեխնոլոգիական սուբյեկտների դեմ պետական հովանավորությամբ ներխուժումների ավելի քան 58%-ի պատճառն են եղել:techinformed+1