Newsletter Subscribe
Enter your email address below and subscribe to our newsletter

intelfusions+1intelfusionstechinformedNjósnahópur tengdur Kína bjó hljóðlega í viðkvæmasta netkerfi stofnunar í nærri tíu ár og komst hjá uppgötvun með því að endurskrifa hugbúnaðinn sem sér um innskráningar notenda, samkvæmt réttarrannsókn sem fyrirtækið Sygnia birti í vikunni.intelfusions
Innbrotið, sem Sygnia kallar Operation Highland, er rakið til ógnaraðila sem fyrirtækið fylgist með undir nafninu Velvet Ant. Fyrstu réttarrannsóknarsporin ná aftur til ársins 2016, sem þýðir að hópurinn hélt aðgangi í næstum áratug áður en hann fannst.intelfusions
Í stað þess að treysta á eitt ígræðsluforrit sem varnaraðilar gætu fundið og fjarlægt, skipti Velvet Ant út pam_unix.so — Linux auðkenningareiningunni sem athugar lykilorð — og nokkrum OpenSSH-tvíundarskrám fyrir bakdyraútgáfur á mörgum hýsingarvélum. Þetta gaf árásarmönnunum falda leið til að skrá sig inn sem hvaða notandi sem er og innbyggðan lyklaborðsskráara sem tók upp lögmæt skilríki þegar kerfisstjórar skrifuðu þau.intelfusions
Sygnia auðkenndi níu mismunandi afbrigði af skaðlegu PAM-einingunni, hver um sig samsett í sérstöku umhverfi, sem bendir til vel fjármagnaðrar og markvissrar aðgerðar. Tvíundarskráarnar sem átt var við báru sérsniðinn fána til að bæla niður eigin skráningu skilríkja, sem gerði rekstraraðilum kleift að stjórna fótsporum sínum meðan á virkni stóð.intelfusions
Markmiðsnetið hafði enga beina nettengingu. Velvet Ant komst inn í það með fjölþrepa hliðarleið: fyrst með því að komast yfir netþjóna sem snúa að internetinu, síðan með því að fara í gegnum fyrirtækjanetið með því að nota breytta útgáfu af GS-Netcat sem var endurnefnd "auditdb" og sett í /usr/sbin/ til að blandast inn í kerfisforritin.intelfusions
Vegna þess að árásarmennirnir stjórnuðu íhlutunum sem sjá um fjaraðgang og kerfisstjórnun, reyndust hefðbundnar varnaraðgerðir árangurslausar. Bakdyrnar lifðu af lykilorðabreytingar og lokun á lotum. Sygnia leggur áherslu á að röng skipti á kompromissuðum tvíundarskrám á lifandi kerfum gætu lokað kerfisstjóra algjörlega úti, og að fjarlægja verði bakdyrnar áður en lykilorð eru endurstillt til að koma í veg fyrir endurtekinn þjófnað á skilríkjum.sygnia+1
Fyrirtækið mælir með því að fylgjast með PAM-einingum og OpenSSH-tvíundarskrám fyrir óvæntum breytingum, staðfesta skrár tengdar innskráningu gegn þekktum góðum viðmiðum og leita að óheimilum authorized_keys færslum.intelfusions
Þetta er ekki í fyrsta skipti sem Sygnia hefur skjalfest vinnubrögð Velvet Ant sem miða að viðvarandi aðgangi. Fyrirtækið tengdi hópinn áður við misnotkun á F5 BIG-IP tækjum og nýtingu á CVE-2024-20399, núll-dags veikleika í Cisco NX-OS, til að planta bakdyrum á Nexus rofa. Stöðuga mynstrið: þegar Velvet Ant finnst, snýr hópurinn sér að minna vöktuðum innviðum og endurbyggir sig.sygnia+1
Uppljóstrunin kemur í kjölfar víðtækari viðvarana um kínverskar netárásir gegn mikilvægum innviðum. CrowdStrike greindi frá því í vikunni að andstæðingar tengdir Kína stóðu fyrir meira en 58% af innbrotum sem ríki styðja gegn tæknifyrirtækjum á milli apríl 2025 og mars 2026.techinformed+1