Newsletter Subscribe
Enter your email address below and subscribe to our newsletter

intelfusions+1intelfusionstechinformedჩინეთთან დაკავშირებული ჯაშუშური ჯგუფი ჩუმად იმყოფებოდა ორგანიზაციის ყველაზე მგრძნობიარე ქსელში თითქმის ათი წლის განმავლობაში და აღმოჩენას თავს არიდებდა იმ პროგრამული უზრუნველყოფის გადაწერით, რომელიც მომხმარებლის შესვლას მართავს, ნათქვამია ინციდენტებზე რეაგირების ფირმა Sygnia-ს მიერ ამ კვირაში გამოქვეყნებულ სასამართლო-სამედიცინო გამოძიებაში.intelfusions
შეჭრას, რომელსაც Sygnia უწოდებს Operation Highland-ს, მიაწერენ საფრთხის შემცველ აქტორს, რომელსაც ფირმა Velvet Ant-ის სახელით აკვირდება. ყველაზე ადრეული სასამართლო კვალი 2016 წლით თარიღდება, რაც ნიშნავს, რომ ჯგუფმა წვდომა თითქმის ათი წლის განმავლობაში შეინარჩუნა, სანამ აღმოაჩენდნენ.intelfusions
იმის ნაცვლად, რომ დაეყრდნოთ ერთ იმპლანტს, რომლის პოვნაც და წაშლაც დამცველებს შეეძლოთ, Velvet Ant-მა შეცვალა pam_unix.so — Linux-ის დანამატი ავთენტიფიკაციის მოდული, რომელიც ამოწმებს პაროლებს — და რამდენიმე OpenSSH ბინარული ფაილი მრავალ ჰოსტზე გატეხილი ვერსიებით. ამან თავდამსხმელებს მისცა ფარული გვერდის ავლის გზა, რათა შესულიყვნენ როგორც ნებისმიერი მომხმარებელი, და ჩაშენებული კილოგერი, რომელიც იჭერდა ლეგიტიმურ რწმუნებათა სიგელებს, როდესაც ადმინისტრატორები მათ კრეფდნენ.intelfusions
Sygnia-მ იდენტიფიცირება მოახდინა მავნე PAM მოდულის ცხრა განსხვავებული ვარიანტის, თითოეული შედგენილი ცალკეულ აგების გარემოში, რაც მიუთითებს კარგად რესურსებით უზრუნველყოფილ და მიზანმიმართულ ოპერაციაზე. შეცვლილ SSH ბინარულ ფაილებს ჰქონდათ მორგებული დროშა საკუთარი რწმუნებათა სიგელების ჟურნალის ჩასახშობად, რაც ოპერატორებს საშუალებას აძლევდა ემართათ თავიანთი სასამართლო კვალი ცოცხალი აქტივობის დროს.intelfusions
სამიზნე კრიტიკულ ქსელს არ ჰქონდა პირდაპირი ინტერნეტ კავშირი. Velvet Ant მას მიაღწია მრავალეტაპიანი გვერდითი გზით: ჯერ ინტერნეტთან დაკავშირებული სერვერების კომპრომეტირებით, შემდეგ კორპორატიული IT ქსელის გავლით GS-Netcat-ის მოდიფიცირებული ვერსიის გამოყენებით, რომელსაც დაარქვეს "auditdb" და ჩააგდეს /usr/sbin/-ში, რათა სისტემურ უტილიტებთან შერწყმულიყო.intelfusions
იმის გამო, რომ თავდამსხმელები აკონტროლებდნენ კომპონენტებს, რომლებიც მართავენ დისტანციურ წვდომას და სისტემის ადმინისტრირებას, სტანდარტული შეკავების ნაბიჯები არაეფექტური აღმოჩნდა. უკანა კარები გადაურჩა პაროლების შეცვლას და სესიების შეწყვეტას. Sygnia ხაზს უსვამს, რომ ცოცხალ სისტემებზე კომპრომეტირებული ბინარული ფაილების არასწორმა ჩანაცვლებამ შეიძლება ადმინისტრატორები მთლიანად ჩაკეტოს და რომ უკანა კარები უნდა მოიხსნას პაროლების გადატვირთვამდე, რათა თავიდან იქნას აცილებული რწმუნებათა სიგელების ხელახალი ქურდობა.sygnia+1
ფირმა რეკომენდაციას უწევს PAM მოდულებისა და OpenSSH ბინარული ფაილების მონიტორინგს მოულოდნელი ცვლილებებისთვის, შესვლასთან დაკავშირებული ფაილების ვალიდაციას ცნობილ-კარგ ბაზისურ ხაზებთან და არაავტორიზებული authorized_keys ჩანაწერების ძიებას.intelfusions
ეს არ არის პირველი შემთხვევა, როდესაც Sygnia-მ დააფიქსირა Velvet Ant-ის გამძლეობაზე ორიენტირებული ხელობა. ფირმამ ადრე დაუკავშირა ჯგუფი F5 BIG-IP მოწყობილობების ბოროტად გამოყენებას და CVE-2024-20399-ის ექსპლუატაციას, ნულოვანი დღის დაუცველობას Cisco NX-OS-ში, Nexus-ის სვიჩებზე უკანა კარების დასაყენებლად. თანმიმდევრული ნიმუში: როდესაც აღმოაჩენენ, Velvet Ant გადადის ნაკლებად მონიტორინგირებად ინფრასტრუქტურაზე და ხელახლა შენდება.sygnia+1
გამჟღავნება ხდება კრიტიკული ინფრასტრუქტურის წინააღმდეგ ჩინური კიბეროპერაციების შესახებ გაფრთხილებების უფრო ფართო ტალღის ფონზე. CrowdStrike-მა ამ კვირაში განაცხადა, რომ ჩინეთთან დაკავშირებული მოწინააღმდეგეები 2025 წლის აპრილიდან 2026 წლის მარტამდე ტექნოლოგიური სუბიექტების წინააღმდეგ სახელმწიფო დონის შეჭრების 58%-ზე მეტს ახორციელებდნენ.techinformed+1