Newsletter Subscribe
Enter your email address below and subscribe to our newsletter

intelfusions+1intelfusionstechinformedEn Kina-tilknyttet spionasjegruppe oppholdt seg i det skjulte i en organisasjons mest sensitive nettverk i nesten ti år, og unngikk oppdagelse ved å skrive om selve programvaren som håndterer brukerinnlogginger, ifølge en rettsmedisinsk undersøkelse publisert denne uken av hendelseshåndteringsfirmaet Sygnia.intelfusions
Inntrengningen, som Sygnia kaller Operation Highland, tilskrives en trusselaktør firmaet sporer som Velvet Ant. De tidligste rettsmedisinske sporene dateres tilbake til 2016, noe som betyr at gruppen opprettholdt tilgang i nesten et tiår før den ble oppdaget.intelfusions
I stedet for å stole på et enkelt implantat som forsvarere kunne finne og fjerne, erstattet Velvet Ant pam_unix.so – Linux Pluggable Authentication Module som sjekker passord – og flere OpenSSH-binærfiler med bakdørsversjoner på tvers av flere verter. Dette ga angriperne en skjult omvei for å logge inn som hvilken som helst bruker, og en innebygd keylogger som fanget opp legitime påloggingsdetaljer mens administratorer tastet dem inn.intelfusions
Sygnia identifiserte ni distinkte varianter av den ondsinnede PAM-modulen, hver kompilert i et separat utviklingsmiljø, noe som peker på en ressurssterk og bevisst operasjon. De manipulerte SSH-binærfilene bar et tilpasset flagg for å undertrykke sin egen logging av påloggingsdetaljer, noe som lot operatørene administrere sitt rettsmedisinske fotavtrykk under live-aktivitet.intelfusions
Det målrettede kritiske nettverket hadde ingen direkte internettforbindelse. Velvet Ant nådde det gjennom en flertrinns sideveis bane: først ved å kompromittere internett-vendte servere, deretter ved å tunnelere gjennom bedriftens IT-nettverk ved hjelp av en modifisert versjon av GS-Netcat omdøpt til "auditdb" og plassert i /usr/sbin/ for å blande seg med systemverktøy.intelfusions
Fordi angriperne kontrollerte komponentene som håndterer fjerntilgang og systemadministrasjon, viste standard inneslutningstiltak seg å være ineffektive. Bakdørene overlevde passordbytter og sesjonsavslutninger. Sygnia understreker at feilaktig erstatning av kompromitterte binærfiler på live-systemer kan låse administratorer helt ute, og at bakdører må fjernes før passord tilbakestilles for å forhindre at påloggingsdetaljer stjeles på nytt.sygnia+1
Firmaet anbefaler å overvåke PAM-moduler og OpenSSH-binærfiler for uventede endringer, validere innloggingsrelaterte filer mot kjente gode baselines, og lete etter uautoriserte authorized_keys-oppføringer.intelfusions
Dette er ikke første gang Sygnia har dokumentert Velvet Ants utholdenhetsfokuserte håndverk. Firmaet har tidligere knyttet gruppen til misbruk av F5 BIG-IP-apparater og utnyttelse av CVE-2024-20399, en zero-day i Cisco NX-OS, for å plante bakdører på Nexus-svitsjer. Det konsistente mønsteret: når Velvet Ant oppdages, skifter de til mindre overvåket infrastruktur og gjenoppbygger.sygnia+1
Avsløringen kommer midt i en bredere bølge av advarsler om kinesiske cyberoperasjoner mot kritisk infrastruktur. CrowdStrike rapporterte denne uken at Kina-tilknyttede motstandere sto for mer enn 58 % av statsstøttede inntrengninger mot teknologiske enheter mellom april 2025 og mars 2026.techinformed+1