Un grup de spionaj cu legături în China a locuit discret în rețeaua cea mai sensibilă a unei organizații timp de aproape zece ani, eludând detectarea prin rescrierea software-ului care gestionează autentificările utilizatorilor, conform unei investigații criminalistice publicate această săptămână de firma de răspuns la incidente Sygnia.
Intruziunea, pe care Sygnia o numește Operațiunea Highland, este atribuită unui actor de amenințare urmărit de firmă sub numele Velvet Ant. Cele mai vechi urme criminalistice datează din 2016, ceea ce înseamnă că grupul a menținut accesul timp de aproape un deceniu înainte de a fi descoperit.
În interiorul stivei de autentificare
În loc să se bazeze pe un singur implant pe care apărătorii l-ar fi putut găsi și elimina, Velvet Ant a înlocuit pam_unix.so — modulul Linux de autentificare conectabilă (PAM) care verifică parolele — și mai multe binare OpenSSH cu versiuni modificate cu uși ascunse, pe mai multe sisteme. Acest lucru le-a oferit atacatorilor o metodă secretă de a se autentifica ca orice utilizator și un keylogger integrat care captura acreditivele legitime pe măsură ce administratorii le tastau.
Sygnia a identificat nouă variante distincte ale modulului PAM malițios, fiecare compilată într-un mediu de build separat, ceea ce indică o operațiune bine finanțată și deliberată. Binarele SSH modificate conțineau un flag personalizat pentru a suprima propria înregistrare a acreditivelor, permițând operatorilor să-și gestioneze urma forensică în timpul activității în direct.
Rețeaua critică vizată nu avea o conexiune directă la internet. Velvet Ant a ajuns la ea printr-o cale laterală în mai multe etape: mai întâi a compromis servere expuse la internet, apoi a creat tuneluri prin rețeaua IT corporativă folosind o versiune modificată a GS-Netcat, redenumită „auditdb” și plasată în /usr/sbin/ pentru a se camufla printre utilitarele de sistem.
De ce curățarea sistemului prezintă riscuri neobișnuit de mari
Deoarece atacatorii au controlat componentele responsabile de accesul de la distanță și administrarea sistemului, măsurile standard de izolare s-au dovedit ineficiente. Ușile de acces ascunse (backdoor-urile) au supraviețuit schimbărilor de parole și terminărilor de sesiuni. Sygnia avertizează că înlocuirea incorectă a fișierelor binare compromise pe sisteme active ar putea bloca administratorii complet și că backdoor-urile trebuie eliminate înainte de resetarea parolelor, pentru a preveni furtul repetat al credențialelor.
Firma recomandă monitorizarea modulelor PAM și a fișierelor binare OpenSSH pentru modificări neașteptate, validarea fișierelor legate de autentificare față de versiuni de referință cunoscute ca sigure și identificarea intrărilor neautorizate în fișierele authorized_keys.
Un tipar familiar
Aceasta nu este prima dată când Sygnia a documentat tehnicile axate pe persistență ale grupului Velvet Ant. Firma a legat anterior grupul de exploatarea dispozitivelor F5 BIG-IP și de exploatarea CVE-2024-20399, un zero-day în NX-OS de la Cisco, pentru a planta backdoor-uri pe switch-urile Nexus. Tiparul constant: atunci când este detectat, Velvet Ant pivotează către infrastructuri mai puțin monitorizate și se reconstruiește.
Dezvăluirea vine pe fondul unui val mai amplu de avertismente privind operațiunile cibernetice chineze împotriva infrastructurii critice. CrowdStrike a raportat această săptămână că adversarii cu legături în China au generat peste 58% din intruziunile sponsorizate de stat împotriva entităților din domeniul tehnologiei între aprilie 2025 și martie 2026.
Surse:
https://www.intelfusions.com/news/velvet-ant-operation-highland-decade-long-intrusion
https://www.sygnia.co/blog/operation-highland-velvet-ant/
https://www.sygnia.co/blog/china-threat-group-velvet-ant-cisco-zero-day/