Operation Highland
A Sygnia által publikált Operation Highland egy rendkívül hosszú ideig rejtve maradó, kínai kötődésű Velvet Ant kiberkémkedési műveletet mutat be. A vizsgálat során olyan nyomokat találtak, amelyek szerint a támadók már 2016-ban jelen voltak a célzott szervezet infrastruktúrájában, és közel egy évtizeden keresztül képesek voltak észrevétlenül fenntartani hozzáférésüket. A célpont egy részben elkülönített, kritikus rendszereket is tartalmazó hálózat volt, amely közvetlen internetkapcsolattal nem rendelkezett. A támadók ennek ellenére internet felől elérhető szervereken keresztül fokozatosan építettek ki hozzáférési láncot az izolált környezet felé.
A Velvet Ant nem hagyományos malware-re vagy sérülékenységekre építette a tartós jelenlétet, hanem a Linux hitelesítési mechanizmusait kompromittálta. Több rendszeren módosították a PAM (Pluggable Authentication Modules) komponenseket és az OpenSSH binárisokat. A manipulált modulok egyes esetekben titkos jelszóval lehetővé tették a bejelentkezést bármely fiókba, más esetekben a felhasználók hitelesítő adatait gyűjtötték. Az OpenSSH módosításai emellett naplózták a beírt parancsokat és a megszerzett hitelesítő adatokat is. A kutatók legalább kilenc különböző backdoor-változatot azonosítottak, ami a támadók folyamatos fejlesztési és alkalmazkodási képességét mutatja.
A támadók GS-Netcat alapú futtatást, SOCKS5-alagutakat, valamint Nginx és FastCGI komponensek módosítását használták a hálózaton belüli mozgáshoz. A művelet jól illeszkedik a Velvet Ant korábban megfigyelt módszereihez, amelyek során F5 BIG-IP eszközöket, illetve Cisco Nexus infrastruktúrát is felhasználtak tartós hozzáférés kialakítására. Az eset egyik tanulsága, hogy a hálózati szegmentáció önmagában nem jelent védelmet, ha a támadó képes kompromittálni azokat a megbízható rendszereket, amelyek a különböző hálózati zónák között közvetítenek. Különösen veszélyes, amikor maga a hitelesítési infrastruktúra válik támadási felületté, mert ilyenkor a jelszócsere vagy a munkamenetek lezárása sem szünteti meg automatikusan a kompromittálást.
