📰 Informação fresquinha chegando para você!
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Os hackers chineses assumiram o controle da pilha de autenticação de uma organização alvo e mantiveram a persistência por 10 anos, com total visibilidade da atividade administrativa.
Apelidada de “Operação Highland”, a intrusão é atribuída ao grupo de ameaças de ciberespionagem Velvet Ant, que tinha como alvo sistemas vulneráveis voltados para a Internet antes de migrar para uma rede sem caminho externo direto.
Os hackers chineses do grupo de atividades “Velvet Ant” violaram a rede isolada de infraestrutura crítica de uma grande organização e conduziram operações de espionagem cibernética durante 10 anos.
A campanha, apelidada de “Operação Highland” pelos pesquisadores da Sygnia que a descobriram, começou em 2016, visando sistemas vulneráveis voltados para a Internet antes de se transformar em um ambiente “isolado” sem conexão direta com a Internet.
As longas operações de espionagem do Velvet Ant foram documentadas em 2024, quando Sygnia alertou sobre uma campanha visando dispositivos F5 BIG-IP que operaram sem serem detectados durante três anos.
Também em 2024, a Cisco alertou sobre um dia zero no NX-OS rodando em switches Nexus, que foi explorado pelo Velvet Ant para obter acesso aos alvos.
Corrente de ataque Velvet Ant
O ataque começa com o comprometimento de servidores voltados para a Internet, embora os pesquisadores não mencionem o produto específico ou qualquer vulnerabilidade utilizada.
O Velvet Ant implantou um shell reverso GS-Netcat modificado, disfarçado como um componente de sistema legítimo que se conectou a um domínio de retransmissão codificado, fornecendo acesso remoto criptografado ao shell.
O shell obteve persistência por meio de um serviço malicioso do systemd ou por meio de modificação do script de inicialização.
Desmontador mostrando o uso do GS-NetcatFonte: Sygnia
Em seguida, o Velvet Ant instalou um proxy SOCKS5 personalizado para tunelamento de tráfego de rede, permitindo-lhe alcançar sistemas internos que não são acessíveis diretamente pela Internet.
O proxy funcionou como um daemon disfarçado de ‘smbd -D’, usando diferentes nomes de arquivos e portas em cada host e transformando servidores comprometidos em pontos de articulação internos.
Script de proxy SOCKS5Fonte: Sygnia
A parte mais interessante do ataque foi construir um caminho de execução remota na rede isolada.
Para conseguir isso, o Velvet Ant modificou a configuração de um servidor Nginx comprometido voltado para a Internet para fazer proxy de solicitações especialmente criadas para um servidor back-end comprometido.
A configuração Nginx do servidor backend também foi alterada para encaminhar solicitações para um processo FastCGI (fcgiwrap) que escuta em uma porta separada.
O wrapper FastCGI atuou como uma ponte de execução, processando solicitações e lançando um binário personalizado chamado ‘uptime’.
A ferramenta estabeleceu conexões SSH com sistemas dentro da rede de infraestrutura crítica isolada usando parâmetros fornecidos em solicitações HTTP POST.
"Ao encadear essas modificações, o Velvet Ant estabeleceu um caminho de execução remota no ambiente segregado por meio de solicitações HTTP simples, sem a necessidade de conexão direta com a rede de infraestrutura crítica." -Signia
Tendo estabelecido seu acesso ao ambiente isolado, o Velvet Ant mudou o foco para a persistência de longo prazo e o roubo de credenciais, visando os Módulos de Autenticação Plugáveis do Linux (PAM), um conjunto de bibliotecas que permite aos administradores configurar métodos para autenticar usuários.
Os invasores substituíram módulos legítimos ‘pam_unix.so’ por versões backdoor que aceitam senhas codificadas e coletam credenciais de usuário.
A Sygnia identificou nove variantes distintas do módulo PAM malicioso, cada uma compilada em um ambiente de construção separado, indicando um ator de ameaça com bons recursos.
Os pesquisadores afirmam que dois dos módulos PAM maliciosos se destacam por atuar apenas como backdoor e por coletar credenciais.
Os atores do Velvet Ant também substituíram componentes OpenSSH, como ssh, sshd e scp, por versões trojanizadas que capturavam credenciais, registravam comandos inseridos durante sessões SSH e armazenavam os dados coletados localmente para recuperação futura.
Sygnia diz que, ao estender o controle ao processo de autenticação, modificando os componentes PAM e OpenSSH, o agente da ameaça teve acesso às credenciais conforme elas eram usadas no ambiente de destino e poderia ignorar o fluxo de autenticação.
“A atividade administrativa tornou-se totalmente observável: cada login; cada comando executado em hosts comprometidos. O acesso não estava mais vinculado a um ponto de apoio específico, mas incorporado ao próprio processo de autenticação”, explicam os pesquisadores.
Desta forma, os hackers garantiram a sua persistência apesar das alterações de senha e encerramentos de sessões, e reduziram “a eficácia das medidas convencionais de contenção”.
Limpeza complexa
Sygnia diz que mesmo depois de descobrir o comprometimento, remediá-lo e remover o Velvet Ant do ambiente comprometido foi particularmente complicado.
Os atores da ameaça substituíram tantos componentes críticos por versões personalizadas que removê-los provavelmente quebraria a autenticação
Apelidada de “Operação Highland”, a intrusão é atribuída ao grupo de ameaças de ciberespionagem Velvet Ant, que tinha como alvo sistemas vulneráveis voltados para a Internet antes de migrar para uma rede sem caminho externo direto.
Os hackers chineses do grupo de atividades “Velvet Ant” violaram a rede isolada de infraestrutura crítica de uma grande organização e conduziram operações de espionagem cibernética durante 10 anos.
A campanha, apelidada de “Operação Highland” pelos pesquisadores da Sygnia que a descobriram, começou em 2016, visando sistemas vulneráveis voltados para a Internet antes de se transformar em um ambiente “isolado” sem conexão direta com a Internet.
As longas operações de espionagem do Velvet Ant foram documentadas em 2024, quando Sygnia alertou sobre uma campanha visando dispositivos F5 BIG-IP que operaram sem serem detectados durante três anos.
Também em 2024, a Cisco alertou sobre um dia zero no NX-OS rodando em switches Nexus, que foi explorado pelo Velvet Ant para obter acesso aos alvos.
Corrente de ataque Velvet Ant
O ataque começa com o comprometimento de servidores voltados para a Internet, embora os pesquisadores não mencionem o produto específico ou qualquer vulnerabilidade utilizada.
O Velvet Ant implantou um shell reverso GS-Netcat modificado, disfarçado como um componente de sistema legítimo que se conectou a um domínio de retransmissão codificado, fornecendo acesso remoto criptografado ao shell.
O shell obteve persistência por meio de um serviço malicioso do systemd ou por meio de modificação do script de inicialização.
Desmontador mostrando o uso do GS-NetcatFonte: Sygnia
Em seguida, o Velvet Ant instalou um proxy SOCKS5 personalizado para tunelamento de tráfego de rede, permitindo-lhe alcançar sistemas internos que não são acessíveis diretamente pela Internet.
O proxy funcionou como um daemon disfarçado de ‘smbd -D’, usando diferentes nomes de arquivos e portas em cada host e transformando servidores comprometidos em pontos de articulação internos.
Script de proxy SOCKS5Fonte: Sygnia
A parte mais interessante do ataque foi construir um caminho de execução remota na rede isolada.
Para conseguir isso, o Velvet Ant modificou a configuração de um servidor Nginx comprometido voltado para a Internet para fazer proxy de solicitações especialmente criadas para um servidor back-end comprometido.
A configuração Nginx do servidor backend também foi alterada para encaminhar solicitações para um processo FastCGI (fcgiwrap) que escuta em uma porta separada.
O wrapper FastCGI atuou como uma ponte de execução, processando solicitações e lançando um binário personalizado chamado ‘uptime’.
A ferramenta estabeleceu conexões SSH com sistemas dentro da rede de infraestrutura crítica isolada usando parâmetros fornecidos em solicitações HTTP POST.
"Ao encadear essas modificações, o Velvet Ant estabeleceu um caminho de execução remota no ambiente segregado por meio de solicitações HTTP simples, sem a necessidade de conexão direta com a rede de infraestrutura crítica." -Signia
Tendo estabelecido seu acesso ao ambiente isolado, o Velvet Ant mudou o foco para a persistência de longo prazo e o roubo de credenciais, visando os Módulos de Autenticação Plugáveis do Linux (PAM), um conjunto de bibliotecas que permite aos administradores configurar métodos para autenticar usuários.
Os invasores substituíram módulos legítimos ‘pam_unix.so’ por versões backdoor que aceitam senhas codificadas e coletam credenciais de usuário.
A Sygnia identificou nove variantes distintas do módulo PAM malicioso, cada uma compilada em um ambiente de construção separado, indicando um ator de ameaça com bons recursos.
Os pesquisadores afirmam que dois dos módulos PAM maliciosos se destacam por atuar apenas como backdoor e por coletar credenciais.
Os atores do Velvet Ant também substituíram componentes OpenSSH, como ssh, sshd e scp, por versões trojanizadas que capturavam credenciais, registravam comandos inseridos durante sessões SSH e armazenavam os dados coletados localmente para recuperação futura.
Sygnia diz que, ao estender o controle ao processo de autenticação, modificando os componentes PAM e OpenSSH, o agente da ameaça teve acesso às credenciais conforme elas eram usadas no ambiente de destino e poderia ignorar o fluxo de autenticação.
“A atividade administrativa tornou-se totalmente observável: cada login; cada comando executado em hosts comprometidos. O acesso não estava mais vinculado a um ponto de apoio específico, mas incorporado ao próprio processo de autenticação”, explicam os pesquisadores.
Desta forma, os hackers garantiram a sua persistência apesar das alterações de senha e encerramentos de sessões, e reduziram “a eficácia das medidas convencionais de contenção”.
Limpeza complexa
Sygnia diz que mesmo depois de descobrir o comprometimento, remediá-lo e remover o Velvet Ant do ambiente comprometido foi particularmente complicado.
Os atores da ameaça substituíram tantos componentes críticos por versões personalizadas que removê-los provavelmente quebraria a autenticação
#samirnews #samir #news #boletimtec #hackers #chineses #sequestram #fluxo #de #autenticação #e #espionam #rede #isolada #por #uma #década
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário