Một nhóm tin tặc có liên quan đến Trung Quốc, được đặt tên là Velvet Ant, đã thực hiện một chiến dịch xâm nhập mạng kéo dài bên trong một tổ chức lớn, hoạt động không bị phát hiện trong gần một thập kỷ. Chiến dịch này, có tên gọi là Operation Highland, cho thấy sự kiên nhẫn và chiều sâu kỹ thuật hiếm thấy trong các cuộc xâm nhập được ghi nhận công khai, cho thấy một mối đe dọa mạng tinh vi.
Chiến dịch Tấn công Dài hạn và Tinh vi
Cuộc tấn công này đặc biệt đáng báo động không chỉ vì mức độ thâm nhập của kẻ tấn công mà còn vì thời gian chúng ẩn mình bên trong một mạng lưới không có kết nối internet trực tiếp. Velvet Ant đã không thực hiện các hành vi xâm nhập thông thường như email lừa đảo hoặc tấn công brute-force.
Chuỗi Tấn công Đa tầng
Thay vào đó, nhóm đã thiết kế một chuỗi truy cập đa tầng có chủ đích, di chuyển từ các hệ thống đối mặt với internet vào một mạng lưới cơ sở hạ tầng quan trọng được cách ly chặt chẽ. Kẻ tấn công đã sử dụng các công cụ công khai sẵn có làm vỏ bọc và sửa đổi chúng để hòa lẫn với hoạt động bình thường, khiến việc phát hiện bằng các công cụ bảo mật thông thường trở nên gần như không thể.
Dấu vết Lịch sử
Các nhà phân tích bảo mật đã theo dõi các hiện vật pháp lý sớm nhất của cuộc xâm nhập này quay trở lại năm 2017, cho thấy sự hiện diện không bị phát hiện trong mạng nội bộ trong gần một thập kỷ. Cuộc điều tra, mang tên Operation Highland, đã phơi bày cách Velvet Ant di chuyển từ các hệ thống hướng ra internet, xuyên qua mạng CNTT để tiếp cận các phân đoạn cơ sở hạ tầng nhạy cảm nhất.
Chiến lược Tái Lập Quyền Duy trì
Các phát hiện cho thấy một mô hình nhất quán: khi bị phát hiện, nhóm sẽ chuyển sang các cơ sở hạ tầng ít được giám sát hơn và xây dựng lại quyền duy trì từ một vị trí mới. Điều này nhấn mạnh tầm quan trọng của việc giám sát liên tục và các biện pháp phòng ngừa an ninh mạng chủ động.
Kỹ thuật Xâm nhập Sâu vào Lớp Xác thực
Mạng mục tiêu không có kết nối internet trực tiếp, điều này đòi hỏi kẻ tấn công phải thiết kế một chuỗi đa tầng có chủ đích để tiếp cận nó. Velvet Ant đã thực hiện các bước chuẩn bị thông qua các hệ thống đối mặt với internet và di chuyển qua mạng CNTT để tiếp cận phân đoạn cơ sở hạ tầng quan trọng.
Tấn công Module PAM
Điểm đặc biệt của chiến dịch này là cách kẻ tấn công neo quyền duy trì của chúng không phải vào một cửa hậu tiêu chuẩn, mà là bên trong lớp xác thực. Khi Velvet Ant di chuyển vào môi trường được phân tách, chúng nhắm mục tiêu vào lớp Pluggable Authentication Module (PAM), một thành phần cốt lõi của Linux xử lý cách mọi dịch vụ xác thực người dùng.
Module PAM Bị Chỉnh sửa
Trong quá trình điều tra, chín tệp của một module pam_unix.so bị backdoored đã được xác định trên các máy chủ bị xâm nhập. Kẻ tấn công đã thay thế module PAM hợp pháp bằng các phiên bản đã được sửa đổi độc hại. Chức năng được nhắm mục tiêu, pam_sm_authenticate, thường lấy tên người dùng và mật khẩu và trả về thành công hoặc thất bại.
Cơ chế Hoạt động Độc hại
Trong các phiên bản sửa đổi, chức năng này đã được vá để chấp nhận một mật khẩu backdoor được mã hóa cứng, thu thập thông tin xác thực từ các lần xác thực hợp pháp, hoặc cả hai. Khi mật khẩu backdoor được nhập, quá trình xác minh bình thường đã bị bỏ qua hoàn toàn.
Che giấu Dấu vết
Thư viện độc hại cũng đã ghi đè chuỗi mật khẩu backdoor trong bộ nhớ với các giá trị NULL sau khi bỏ qua, làm cho việc phục hồi pháp lý trở nên khó khăn hơn. Một cờ tùy chỉnh đã được nhúng để vô hiệu hóa việc ghi nhật ký thông tin xác thực và phiên của kẻ tấn công, cho phép nhóm hoạt động mà không để lại bất kỳ bằng chứng nào về hoạt động của chúng.
GS-Netcat Biến đổi
Song song với việc thao túng PAM, Velvet Ant đã triển khai một phiên bản sửa đổi của GS-Netcat trên các máy chủ đối mặt với internet để thiết lập một reverse shell tới một máy chủ C2 từ xa. Chương trình này được đặt tên là auditd và đặt tại /usr/sbin/ để hòa lẫn với các tiện ích hệ thống hợp pháp.
Che giấu Quy trình
Để tránh bị phát hiện, chương trình đã ghi đè tên tiến trình của chính nó thành [kauditd], giả dạng thành một luồng nhân hợp pháp trong danh sách tiến trình. Điều này làm cho việc phát hiện tấn công mạng trở nên cực kỳ khó khăn đối với các hệ thống giám sát.
Chiến lược Duy trì và Lời khuyên Bảo mật
Để duy trì quyền truy cập, kẻ tấn công đã sử dụng các phương pháp khác nhau tùy thuộc vào hệ điều hành của máy chủ.
Duy trì trên Hệ thống Lấy systemd và SysVinit
Trên các máy chủ mới hơn chạy systemd, một tệp unit độc hại đã được đặt tại /lib/systemd/system/, ngụy trang dưới dạng một dịch vụ Chrome. Trên các máy chủ SysVinit cũ hơn, một dòng thực thi độc hại đã được thêm vào các tập lệnh khởi động tại /etc/init.d/.
Sử dụng Khóa Công khai để Truy cập
Velvet Ant cũng đã thêm các khóa công khai của riêng họ vào các tệp authorized_keys trên các máy chủ bị xâm nhập, cho phép truy cập liên tục mà không cần mật khẩu. Điều này cho thấy một phương thức hiệu quả để đảm bảo quyền truy cập lâu dài.
Khuyến nghị Bảo mật
Các chuyên gia bảo mật khuyến nghị các tổ chức coi các đường dẫn truy cập PAM, OpenSSH, LSASS và quyền truy cập đặc quyền là các biện pháp kiểm soát bảo mật quan trọng. Việc triển khai EDR trên tất cả các hệ thống được hỗ trợ là rất cần thiết để có khả năng hiển thị điểm cuối và phạm vi phát hiện.
Cập nhật và Cứng rắn hóa
Các tổ chức nên kích hoạt các cảnh báo có độ tin cậy cao cho các sửa đổi xác thực hoặc tệp hệ thống và cứng rắn hóa các đường dẫn truy cập đặc quyền. Việc này giúp giảm thiểu rủi ro bị khai thác các lỗ hổng CVE tiềm ẩn.
Xử lý Thông tin Xác thực và Phục hồi
Thông tin xác thực chỉ nên được xoay vòng sau khi quyền truy trì đã được loại bỏ hoàn toàn. Bất kỳ biện pháp khắc phục nào liên quan đến các thành phần xác thực phải bao gồm các tùy chọn hoàn nguyên và kế hoạch truy cập khẩn cấp để tránh khóa quản trị viên khỏi các hệ thống sản xuất.
Chỉ số Khả nghi (IoCs)
Lưu ý: Địa chỉ IP và tên miền được làm mờ cố ý (ví dụ: [.]) để ngăn chặn việc phân giải hoặc liên kết quá mức vô tình. Chỉ cần định dạng lại trong các nền tảng tình báo mối đe dọa được kiểm soát như MISP, VirusTotal hoặc SIEM của bạn.
- (Thông tin chi tiết về IoCs không được cung cấp trong văn bản gốc)
Chiến dịch Operation Highland là một minh chứng cho thấy các mối đe dọa dai dẳng và có khả năng cao, đòi hỏi các biện pháp phòng thủ mạng toàn diện và liên tục cập nhật. Việc hiểu rõ các kỹ thuật tấn công như vậy là bước đầu tiên để xây dựng khả năng phục hồi.
