En lugar de esconderse en las computadoras portátiles y servidores que los defensores monitorean más de cerca, el grupo alineado con China pasó casi una década dentro del propio sistema de inicio de sesión de Linux.
Según Sygnia, que rastrea al grupo como Velvet Ant, se colocaron puertas traseras en los componentes PAM y OpenSSH que determinan quién puede iniciar sesión, permitiendo el acceso a ubicaciones a las que no se puede acceder mediante una limpieza normal. Las redes objetivo no tenían acceso directo a Internet, por lo que el grupo llegó a ellas primero a través de sistemas conectados a Internet.
Los primeros rastros se remontan a 2016. En lugar de lanzar nuevo malware que los escáneres pudieran detectar, los atacantes modificaron el programa de inicio de sesión confiable. La actividad parecía ser una gestión normal ya que no apareció nada obvio y no se requirió ningún exploit.
En muchas máquinas, los atacantes reemplazaron el módulo de inicio de sesión PAM principal con una copia de puerta trasera. Algunas personas utilizan contraseñas secretas para acceder. Otros registraron silenciosamente el nombre de usuario y la contraseña reales cuando el usuario inició sesión.
Los investigadores encontraron nueve versiones diferentes. El programa OpenSSH también se modificó para registrar las credenciales y todos los comandos escritos, y agregar un interruptor oculto para desactivar el registro si lo desea.
Llegar a redes aisladas requirió trabajo adicional. Los atacantes utilizaron otras herramientas de suplantación de identidad y servidores web con acceso a Internet como puentes para pasar comandos para abrir sesiones remotas en segmentos profundos sin acceso directo a Internet.
La contención estándar tuvo poco efecto ya que el propio sistema de inicio de sesión se había visto comprometido. Los restablecimientos de contraseñas y las terminaciones de sesiones no sirven de nada si la capacidad de verificar estas credenciales funciona para un atacante.
Esto no es nada nuevo para el grupo. Cada vez que el Defender encuentra un punto de apoyo, Velvet Ant se mueve hacia una pieza de equipo que no monitorea mucho y se instala allí. En un incidente de 2024, Sygnia descubrió que el mismo atacante había convertido un dispositivo F5 BIG-IP expuesto a Internet en un servidor de comando interno.
Más tarde ese año, informamos que este grupo había explotado la falla CVE-2024-20399 de Cisco NX-OS para realizar una puerta trasera en los conmutadores. Para empezar, este error requiere acceso de administrador, por lo que se trata de una herramienta de persistencia y no de una intrusión remota. Cisco aplicó el parche en julio de 2024 y al día siguiente CISA informó que había sido explotado.
La Operación Highland es la misma idea, pero un nivel más profunda. Los balanceadores de carga, los conmutadores y el propio software de inicio de sesión son confiables de forma predeterminada y rara vez se verifican. Precisamente por eso los atacantes pacientes se esconden en ellos.
La Operación Highland no es un problema único de CVE. La solución es una validación, no un parche, y la limpieza es delicada porque el atacante modificó el programa confiable después de la infracción. Un reemplazo incorrecto puede bloquear a los administradores del sistema en ejecución.
Monitorear archivos de inicio de sesión. Supervisa los cambios en los programas PAM y OpenSSH y sus archivos clave y le alerta sobre cualquier cambio. Vea qué ha cambiado y busque en lugar de esperar alertas. Compare estos programas con copias buenas conocidas. Porque no hay nada que indique un problema. Retire la puerta trasera antes de restablecer su contraseña. De lo contrario, también le robarán su nueva contraseña. Pruebe primero cualquier artículo de reemplazo en el laboratorio.
Los casos anteriores de F5 y Cisco tienen comprobaciones únicas para parchar el equipo Cisco Nexus para CVE-2024-20399 y monitorear las cajas F5 para detectar conexiones salientes inesperadas.
Las lecciones generales son claras. Aún se requieren controles de integridad para la infraestructura fuera del monitoreo normal, y eso ahora incluye la capa de inicio de sesión.
Source link
