ჩინეთთან დაკავშირებულმა ჰაკერებმა Linux-ის შესვლის სისტემა თითქმის ათი წლით გატეხეს

ჩინეთთან დაკავშირებულმა ჰაკერებმა Linux-ის შესვლის სისტემა თითქმის ათი წლით გატეხეს

ჩინეთთან დაკავშირებულმა ჯაშუშურმა ჯგუფმა თითქმის ათი წლის განმავლობაში ჩუმად დაიკავა ორგანიზაციის ყველაზე მგრძნობიარე ქსელი და აღმოჩენას თავი აარიდა იმ პროგრამული უზრუნველყოფის გადაწერით, რომელიც მომხმარებელთა შესვლას მართავს. ამის შესახებ ინციდენტებზე რეაგირების ფირმა Sygnia-ს მიერ ამ კვირაში გამოქვეყნებულ სასამართლო-სამედიცინო გამოძიებაშია ნათქვამი.intelfusions

შეჭრა, რომელსაც Sygnia „ოპერაცია Highland“-ს უწოდებს, მიეწერება საფრთხის შემცველ აქტორს, რომელსაც ფირმა Velvet Ant-ის სახელით აკვირდება. ყველაზე ადრეული კვალი 2016 წლით თარიღდება, რაც ნიშნავს, რომ ჯგუფმა აღმოჩენამდე თითქმის ათი წლის განმავლობაში შეინარჩუნა წვდომა.intelfusions

ავთენტიფიკაციის სტეკის შიგნით

იმის ნაცვლად, რომ დაყრდნობოდა ერთ იმპლანტს, რომლის პოვნაც და მოშორებაც დამცველებს შეეძლოთ, Velvet Ant-მა შეცვალა pam_unix.so — Linux-ის ავთენტიფიკაციის მოდული, რომელიც პაროლებს ამოწმებს — და რამდენიმე OpenSSH ბინარული ფაილი „ბექდორებით“ აღჭურვილი ვერსიებით მრავალ ჰოსტზე. ამან თავდამსხმელებს მისცა ფარული გვერდის ავლის გზა, რათა შესულიყვნენ როგორც ნებისმიერი მომხმარებელი, და ჩაშენებული კილოგერი, რომელიც ლეგიტიმურ რწმუნებათა სიგელებს იჭერდა, როდესაც ადმინისტრატორები მათ კრეფდნენ.intelfusions

Sygnia-მ იდენტიფიცირება გაუკეთა მავნე PAM მოდულის ცხრა განსხვავებულ ვარიანტს, რომელთაგან თითოეული ცალკეულ გარემოში იყო კომპილირებული, რაც მიუთითებს კარგად რესურსებით უზრუნველყოფილ და მიზანმიმართულ ოპერაციაზე. შეცვლილ SSH ბინარულ ფაილებს ჰქონდათ მორგებული დროშა საკუთარი რწმუნებათა სიგელების ლოგირების ჩასახშობად, რაც ოპერატორებს საშუალებას აძლევდა, ემართათ თავიანთი კვალი ცოცხალი აქტივობის დროს.intelfusions

სამიზნე კრიტიკულ ქსელს ინტერნეტთან პირდაპირი კავშირი არ ჰქონდა. Velvet Ant მას მრავალეტაპიანი გვერდითი გზით მიუახლოვდა: ჯერ ინტერნეტთან დაკავშირებული სერვერების კომპრომეტირებით, შემდეგ კი კორპორატიულ IT ქსელში გვირაბის გაჭრით GS-Netcat-ის მოდიფიცირებული ვერსიის გამოყენებით, რომელსაც „auditdb“ დაარქვეს და /usr/sbin/-ში ჩააგდეს, რათა სისტემურ უტილიტებთან შერწყმულიყო.intelfusions

რატომ არის გაწმენდა უჩვეულოდ სარისკო

იმის გამო, რომ თავდამსხმელები აკონტროლებდნენ კომპონენტებს, რომლებიც მართავენ დისტანციურ წვდომას და სისტემის ადმინისტრირებას, სტანდარტული შეკავების ნაბიჯები არაეფექტური აღმოჩნდა. „ბექდორები“ გადაურჩა პაროლების შეცვლასა და სესიების შეწყვეტას. Sygnia ხაზს უსვამს, რომ ცოცხალ სისტემებზე კომპრომეტირებული ბინარული ფაილების არასწორმა ჩანაცვლებამ შესაძლოა ადმინისტრატორებს წვდომა სრულად დაუკეტოს და რომ „ბექდორები“ პაროლების შეცვლამდე უნდა მოიხსნას, რათა თავიდან იქნას აცილებული რწმუნებათა სიგელების ხელახალი მოპარვა.sygnia

ფირმა რეკომენდაციას უწევს PAM მოდულებისა და OpenSSH ბინარული ფაილების მონიტორინგს მოულოდნელი ცვლილებების გამოსავლენად, შესვლასთან დაკავშირებული ფაილების ვალიდაციას ცნობილ-კარგ ბაზისურ ხაზებთან და არაავტორიზებული authorized_keys ჩანაწერების ძიებას.intelfusions

ნაცნობი ნიმუში

ეს არ არის პირველი შემთხვევა, როდესაც Sygnia-მ დოკუმენტირება გაუკეთა Velvet Ant-ის გამძლეობაზე ორიენტირებულ ხელობას. ფირმამ მანამდე დააკავშირა ჯგუფი F5 BIG-IP მოწყობილობების ბოროტად გამოყენებასთან და Cisco NX-OS-ში არსებული ნულოვანი დღის დაუცველობის, CVE-2024-20399-ის ექსპლუატაციასთან, რათა Nexus-ის სვიჩებზე „ბექდორები“ დაეყენებინათ. თანმიმდევრული ნიმუში: როდესაც აღმოაჩენენ, Velvet Ant გადადის ნაკლებად მონიტორინგირებად ინფრასტრუქტურაზე და ხელახლა შენდება.sygnia

ეს გამჟღავნება მოდის კრიტიკული ინფრასტრუქტურის წინააღმდეგ ჩინური კიბეროპერაციების შესახებ გაფრთხილებების ფართო ტალღის ფონზე. CrowdStrike-მა ამ კვირაში განაცხადა, რომ ჩინეთთან დაკავშირებულმა მოწინააღმდეგეებმა 2025 წლის აპრილიდან 2026 წლის მარტამდე ტექნოლოგიური სუბიექტების წინააღმდეგ სახელმწიფო მხარდაჭერილი შეჭრების 58%-ზე მეტი განახორციელეს.techinformed