СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
12 июня
#ИБ

Velvet Ant почти десять лет скрывался в критической инфраструктуре


Sygnia раскрыла почти десятилетнее скрытое присутствие Velvet Ant в сети критической инфраструктуры

Расследование Sygnia в рамках Operation Highland показало масштабную и технически сложную кибератаку, которую аналитики связывают с группировкой Velvet Ant, ориентированной на цели, связанные с Китаем. По данным отчета, злоумышленник оставался незамеченным в сети критической инфраструктуры почти 10 лет, впервые закрепившись в среде еще в 2016 году.

Ключевой особенностью кампании стало не только длительное присутствие, но и глубокая интеграция в механизмы аутентификации. Velvet Ant нацеливался на компоненты, критически важные для управления доступом, что позволило ему сохранять контроль даже при изменении паролей и проведении стандартных административных действий.

Многоэтапное проникновение и закрепление

Sygnia описывает атаку как многоступенчатую. На первом этапе злоумышленник получил доступ к системам, доступным из internet, после чего перемещался по IT-сети, чтобы проникнуть в изолированный сегмент критической инфраструктуры.

Среди наиболее опасных приемов расследователи выделяют компрометацию бинарных файлов Pluggable Authentication Module (PAM) и OpenSSH. Это обеспечило Velvet Ant фактический контроль над процессами аутентификации и позволило отслеживать использование учетных данных в реальном времени.

«Любое некорректное удаление изменённых модулей PAM или бинарных файлов OpenSSH могло привести к отказу в доступе для администраторов», — следует из выводов расследования Sygnia.

Бэкдор в PAM и контроль над OpenSSH

По данным отчета, злоумышленник использовал бэкдоренные версии модулей PAM, включая pam_unix.so, а также злонамеренно модифицированные бинарные файлы OpenSSH. Это дало возможность:

  • обходить аутентификацию с помощью бэкдор-паролей;
  • собирать легитимные учетные данные через измененные потоки аутентификации;
  • захватывать и сохранять учетные данные пользователей;
  • регистрировать команды оболочки;
  • отключать механизмы журналирования и контроля доступа.

Sygnia выявила девять вариантов модуля pam_unix.so. Каждый из них был индивидуально скомпилирован и адаптирован под конкретные задачи обхода защиты. Такая вариативность указывает на высокий уровень подготовки и устойчивую операционную модель, рассчитанную на длительное скрытое присутствие.

Инструменты скрытности и удаленное выполнение команд

Арсенал Velvet Ant включал и другие средства, направленные на маскировку активности. В частности, злоумышленник применял модифицированную версию GS-Netcat как скрытую обратную оболочку, дополнительно зашифрованную для повышения скрытности.

Для сокрытия следов присутствия использовалась манипуляция именами процессов, что затрудняло обнаружение вредоносной активности в системных процессах. Кроме того, исследователи обнаружили пользовательский мост выполнения на базе Nginx и FastCGI, который позволял выполнять удаленные команды через HTTP-запросы без необходимости прямого подключения к целевым системам.

Почему ликвидация последствий оказалась особенно сложной

Устранение последствий атаки стало отдельной проблемой. Простая замена скомпрометированных служб не решала вопроса: ошибочное удаление измененных компонентов могло нарушить доступ администраторов и поставить под угрозу операционную непрерывность.

Поэтому был необходим аккуратный подход, включающий поэтапную замену вредоносных компонентов, минимизацию простоев и строгую проверку работоспособности SSH и аутентификации. Такой сценарий требовал не только технической точности, но и координации между командами реагирования и эксплуатации.

Выводы: атаки на доверенные компоненты остаются особенно опасными

Operation Highland наглядно демонстрирует, насколько сложно выявлять и сдерживать противника, который внедряется не в отдельный сервис, а в доверенные системные компоненты. В подобных случаях традиционного сигнатурного обнаружения недостаточно: защитникам требуется проактивный threat hunting и аналитический подход, ориентированный на выявление аномалий, несогласованного поведения и скрытых изменений в критичных механизмах системы.

Именно способность злоумышленников глубоко интегрироваться в процессы аутентификации делает такие кампании особенно опасными для организаций, управляющих критической инфраструктурой.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: