Хакери поврзани со Кина вградиле „backdoor“ во Linux системи за најавување и останале скриени речиси една деценија

Наместо да се кријат на лаптопи и сервери што одбранбените системи најчесто ги следат, група поврзана со Кина поминала речиси десет години скриена директно во системот за најавување на Linux.

Компанијата Sygnia, која ја следи групата под името Velvet Ant, соопшти дека напаѓачите вградиле задни врати (backdoors) во компонентите PAM (Pluggable Authentication Modules) и OpenSSH, кои одлучуваат кој има дозвола да се најави во системот. Со тоа, пристапот бил скриен на ниво каде што обичното чистење и проверка не можат да го откријат.

Мрежата што била цел на нападот немала директен пристап до интернет, па групата прво користела системи со интернет пристап како „скок-платформи“ за да стигне до внатрешната инфраструктура.

Најраните траги датираат од 2016 година. Наместо да инсталира нов малвер што би можел да биде откриен од безбедносни алатки, напаѓачите ги измениле самите доверливи програми за најава. Поради тоа немало очигледни знаци на напад и не бил потребен класичен exploit, па активноста изгледала како нормална администрација на системот.

Како функционирал нападот

На повеќе машини, напаѓачите го замениле главниот PAM модул за најава со изменети (backdoored) верзии. Некои од нив им овозможувале пристап со тајна лозинка, додека други тајно ги запишувале вистинските кориснички имиња и лозинки кога корисниците се најавувале.

Истражувачите откриле девет различни верзии на овие измени. Исто така, програмите од OpenSSH биле изменети на сличен начин, со цел да ги снимаат внесените креденцијали и сите команди што корисниците ги пишувале, со можност таа активност да се исклучи по потреба.

Како напаѓачите стигнале до изолираната мрежа

За да влезат во мрежа без директен интернет пристап, напаѓачите користеле дополнителни прикриени алатки и веб-сервер изложен на интернет како посредник. Преку него испраќале команди што овозможувале далечински сесии во длабочината на сегментот што бил изолиран од интернет.

Бидејќи самиот систем за најава бил компромитиран, класичните мерки за заштита како ресетирање лозинки или прекинување сесии имале ограничен ефект — кога механизмот што ги проверува креденцијалите е под контрола на напаѓачот, тие мерки не се доволни.

Ова не е ново за групата. Секој пат кога одбранбените тимови ќе откријат една точка на пробив, Velvet Ant се префрла на делови од инфраструктурата што се помалку следени и таму поставува нова позиција.

Во случај од 2024 година, компанијата Sygnia открила дека истиот актер ги користел интернет-изложените уреди F5 BIG-IP како внатрешни командни сервери.

Подоцна истата година, групата била поврзана со експлоатирање на ранливост во Cisco NX-OS, означена како CVE-2024-20399, за поставување backdoor на мрежните свичеви. Оваа ранливост бара административен пристап, па затоа се смета повеќе за алатка за одржување пристап (persistence), а не за иницијален пробив. Cisco ја закрпи ранливоста во јули 2024, а CISA следниот ден ја означи како активно злоупотребувана.

Операција Highland

Operation Highland ја следи истата логика, но на подлабоко ниво. Балансери на сообраќај, мрежни свичеви и самиот систем за најавување се сметаат за доверливи по дифолт и ретко се проверуваат — токму затоа напаѓачите се кријат во нив.

Операцијата не е проблем поврзан со една ранливост (CVE). Напаѓачите го менувале доверливиот софтвер откако веќе добиле пристап, па затоа решението не е само „пачување“, туку проверка на интегритетот. Чистењето е деликатно: погрешна замена може да ги заклучи администраторите надвор од активен систем.

Што треба да се следи

• Следење на логин датотеките: PAM и OpenSSH програмите и нивните клучни фајлови треба да се проверуваат за било каква промена, со аларм при измена.
• Детекција преку споредба: наместо чекање аларм, системите треба да се споредуваат со „познати добри“ верзии.
• Отстранување пред ресетирање лозинки: backdoor-ите мора да се отстранат пред промена на лозинки, инаку новите исто така може да бидат украдени.
• Тестирање во лабораторија: секоја замена треба прво да се провери во контролирана средина.

Во претходните случаи со F5 BIG-IP и Cisco NX-OS, постојат посебни мерки: закрпи за CVE-2024-20399 на Cisco опрема и мониторинг на F5 уредите за неочекувани излезни конекции.

Поширока поука

Главната поента е дека инфраструктурата што обично не е под директен надзор сепак мора да има проверки на интегритет. Тоа денес важи и за најосновниот слој — системот за најава.

Извори:

• The Hacker News – China-Linked Hackers Backdoored Linux Login Software to Hide for Nearly a Decade The Hacker News