Newsletter Subscribe
Enter your email address below and subscribe to our newsletter

intelfusions+1intelfusionstechinformedSu Kinija susijusi šnipinėjimo grupė tyliai gyveno organizacijos jautriausiame tinkle beveik dešimt metų, išvengdama aptikimo perrašydama pačią programinę įrangą, kuri tvarko vartotojų prisijungimus, teigiama šią savaitę incidentų reagavimo įmonės „Sygnia“ paskelbtame kriminalistiniame tyrime.intelfusions
Įsilaužimas, kurį „Sygnia“ vadina „Operation Highland“, priskiriamas grėsmės veikėjui, kurį įmonė stebi „Velvet Ant“ vardu. Ankstyviausi kriminalistiniai pėdsakai siekia 2016 m., o tai reiškia, kad grupė išlaikė prieigą beveik dešimtmetį, kol buvo aptikta.intelfusions
Užuot pasikliavusi vienu implantu, kurį gynėjai galėtų rasti ir pašalinti, „Velvet Ant“ pakeitė pam_unix.so – „Linux“ prijungiamą autentifikavimo modulį, kuris tikrina slaptažodžius – ir kelis „OpenSSH“ dvejetainius failus į „užpakalinių durų“ turinčias versijas keliuose pagrindiniuose kompiuteriuose. Tai suteikė užpuolikams paslėptą būdą prisijungti kaip bet kuriam vartotojui ir įdiegtą klaviatūros registratorių, kuris fiksavo teisėtus kredencialus, kai juos įvesdavo administratoriai.intelfusions
„Sygnia“ nustatė devynis skirtingus kenkėjiško PAM modulio variantus, kurių kiekvienas buvo sukompiliuotas atskiroje kūrimo aplinkoje, o tai rodo gerai aprūpintą ir apgalvotą operaciją. Pakeisti SSH dvejetainiai failai turėjo pasirinktinę vėliavėlę, skirtą slopinti jų pačių kredencialų registravimą, leidžiančią operatoriams valdyti savo kriminalistinį pėdsaką tiesioginės veiklos metu.intelfusions
Tikslinis kritinis tinklas neturėjo tiesioginio interneto ryšio. „Velvet Ant“ jį pasiekė daugiapakopiu šoniniu keliu: pirmiausia kompromituodama į internetą nukreiptus serverius, tada tuneliuodama per įmonės IT tinklą naudodama modifikuotą „GS-Netcat“ versiją, pervadintą į „auditdb“ ir įmestą į /usr/sbin/, kad susilietų su sistemos įrankiais.intelfusions
Kadangi užpuolikai kontroliavo komponentus, kurie tvarko nuotolinę prieigą ir sistemos administravimą, standartiniai sulaikymo veiksmai pasirodė neveiksmingi. „Užpakalinės durys“ išliko po slaptažodžių keitimo ir sesijų nutraukimo. „Sygnia“ pabrėžia, kad neteisingas kompromituotų dvejetainių failų pakeitimas tiesioginėse sistemose gali visiškai užblokuoti administratorius, o „užpakalinės durys“ turi būti pašalintos prieš iš naujo nustatant slaptažodžius, kad būtų išvengta pakartotinio kredencialų vagystės.sygnia+1
Įmonė rekomenduoja stebėti PAM modulius ir „OpenSSH“ dvejetainius failus dėl netikėtų pakeitimų, tikrinti su prisijungimu susijusius failus pagal žinomus gerus pagrindus ir ieškoti neleistinų authorized_keys įrašų.intelfusions
Tai ne pirmas kartas, kai „Sygnia“ dokumentuoja į „Velvet Ant“ atkaklumą orientuotą amatą. Įmonė anksčiau susiejo grupę su piktnaudžiavimu „F5 BIG-IP“ įrenginiais ir CVE-2024-20399, „zero-day“ pažeidžiamumo „Cisco“ NX-OS, išnaudojimu, siekiant įdiegti „užpakalines duris“ „Nexus“ jungikliuose. Nuoseklus modelis: aptikus, „Velvet Ant“ pereina prie mažiau stebimos infrastruktūros ir atstatoma.sygnia+1
Šis atskleidimas pasirodo platesnės įspėjimų bangos apie Kinijos kibernetines operacijas prieš kritinę infrastruktūrą fone. „CrowdStrike“ šią savaitę pranešė, kad su Kinija susiję priešininkai įvykdė daugiau nei 58 % valstybės remiamų įsilaužimų į technologijų subjektus nuo 2025 m. balandžio mėn. iki 2026 m. kovo mėn.techinformed+1