In plaats van zich te verstoppen op de laptops en servers die verdedigers nauwlettend in de gaten houden, bracht een Chinese nexusgroep bijna tien jaar verborgen door in het Linux-inlogsysteem zelf.
Sygnia, die de groep volgt als Fluwelen mierzegt dat het de PAM- en OpenSSH-componenten die beslissen wie zich mag aanmelden, achter de deur heeft gezet, waardoor de toegang daar wordt geplaatst waar gewone opruiming deze niet kon bereiken. Het netwerk waarop het zich richtte had geen directe internettoegang, dus de groep ging eerst via op internet gerichte systemen om daar te komen.
De eerste sporen gaan terug tot 2016. In plaats van nieuwe malware te droppen die een scanner zou kunnen onderscheppen, veranderde de aanvaller zelf de vertrouwde inlogprogramma’s. Er bleek niets voor de hand liggends en er was geen exploit nodig, dus de activiteit leek op normaal beheer.
Op veel machines verving de aanvaller de hoofd-PAM-inlogmodule door backdoor-kopieën. Sommigen lieten ze binnen met een geheim wachtwoord; anderen registreerden stilletjes echte gebruikersnamen en wachtwoorden terwijl mensen inlogden.
Onderzoekers vonden negen afzonderlijke versies. De OpenSSH-programma’s werden op dezelfde manier gewijzigd, waarbij de inloggegevens en elke getypte opdracht werden geregistreerd, met een verborgen schakelaar om het inloggen uit te schakelen wanneer dat nodig was.
Het überhaupt bereiken van het geïsoleerde netwerk kostte extra werk. De aanvaller gebruikte andere vermomde tools en een op internet gerichte webserver als brug, waarbij hij opdrachten doorgaf om externe sessies te openen diep in het segment dat geen directe internettoegang had.
Omdat het inlogsysteem zelf gecompromitteerd was, hielp de normale inperking weinig. Het opnieuw instellen van wachtwoorden en het beëindigen van sessies helpen niet als het ding dat deze inloggegevens controleert, voor de aanvaller werkt.
Dit is niet nieuw voor de groep. Elke keer dat verdedigers één steunpunt vinden, gaat Velvet Ant naar een uitrusting waar ze minder naar kijken en gaat daar staan. In een geval uit 2024 ontdekte Sygnia dat dezelfde actor F5 BIG-IP-apparaten die aan het internet blootgesteld waren, omzette in interne commandoservers.
Later dat jaar meldde het dat de groep misbruik maakte van een Cisco NX-OS-fout, CVE-2024-20399, om een achterdeur op de switches te plaatsen. Die bug heeft eerst beheerderstoegang nodig, dus het is een persistentietool en geen inbraak op afstand. Cisco patchte het in juli 2024 en CISA markeerde het de volgende dag als misbruikt.
Operatie Highland is hetzelfde idee, een niveau dieper. Load balancers, switches en de inlogsoftware zelf worden standaard vertrouwd en zelden gecontroleerd, wat precies de reden is dat een patiëntaanvaller zich erin verbergt.
Operatie Highland is geen probleem van één CVE. De aanvaller heeft vertrouwde programma’s gewijzigd nadat hij binnenkwam, dus de oplossing is verificatie, niet patchen, en opschonen is delicaat: een verkeerde vervanging kan beheerders buitensluiten van een live systeem.
- Bekijk de inlogbestanden. Controleer de PAM- en OpenSSH-programma’s en hun sleutelbestanden op eventuele wijzigingen en waarschuw wanneer deze veranderen.
- Ga op jacht door te controleren wat er is veranderdniet door op een waarschuwing te wachten. Vergelijk deze programma’s met bekende goede exemplaren, want niets zal ze voor u markeren.
- Verwijder de achterdeur voordat u wachtwoorden opnieuw insteltanders worden de nieuwe op dezelfde manier gestolen. Test elke vervanging eerst in een laboratorium.
De eerdere F5- en Cisco-gevallen hebben hun eigen controles: patch CVE-2024-20399 op Cisco Nexus-apparatuur en let op F5-boxen voor onverwachte uitgaande verbindingen.
De bredere les is duidelijk: infrastructuur die buiten de normale monitoring valt, heeft nog steeds integriteitscontroles nodig, en dat omvat nu ook de inloglaag.
