Μια νέα έκθεση αποκαλύπτει ότι μια ομάδα Κινέζων χάκερ, γνωστή ως Velvet Ant, έχει διατηρήσει τον έλεγχο ενός ζωτικού δικτύου για πάνω από 10 χρόνια, αποκτώντας πλήρη πρόσβαση στις διοικητικές ενέργειες του οργανισμού στόχου. Αυτή η μακροχρόνια επιχείρηση κυβερνοκατασκοπείας, γνωστή ως “Operation Highland”, είχε στόχο την υποδομή ενός οργανισμού χρησιμοποιώντας προηγμένες μεθόδους επιθέσεων.
Η σημασία αυτής της είδησης έγκειται στο ότι επισημαίνει την κλιμάκωση των κυβερνοεπιθέσεων και τη δυνατότητα των επιτιθέμενων να αναμένουν μακροχρόνια διείσδυση σε κρίσιμες υποδομές. Για τους Έλληνες χρήστες και οργανισμούς, αυτή η περίπτωση αναδεικνύει την ανάγκη για ενίσχυση της κυβερνοασφαλείας, ιδίως σε τομείς που διαχειρίζονται ευαίσθητα δεδομένα.
Η επιχείρηση “Operation Highland”
Η εκστρατεία “Operation Highland”, όπως την ονόμασαν οι ερευνητές της Sygnia, ξεκίνησε το 2016 και απέκτησε πρόσβαση σε ευάλωτα συστήματα που συνδέονται με το Διαδίκτυο, προτού στραφεί σε ένα «αεροστεγές» περιβάλλον χωρίς άμεση διαδικτυακή πρόσβαση. Η Velvet Ant έχει αποδείξει την ικανότητά της να εκμεταλλεύεται και να παρεμβαίνει σε συστήματα, όπως ήταν οι συσκευές F5 BIG-IP, επισημαινόμενες από την Cisco το 2024 ως σημείο μηδενικής ημέρας.
Ένα πολύπλοκο καθεστώς επιθέσεων
Η επίθεση ξεκινά με την παραβίαση διακομιστών που έχουν πρόσβαση στο Διαδίκτυο. Η ομάδα ανέπτυξε ένα τροποποιημένο αντίστροφο κέλυφος, το GS-Netcat, μεταμφιεσμένο ως νόμιμο κομμάτι του συστήματος, επιτρέποντας την κρυπτογραφημένη απομακρυσμένη πρόσβαση.
Η επιμονή της ομάδας επιτεύχθηκε μέσω μιας κακόβουλης υπηρεσίας systemd και τροποποιημένων σεναρίων εκκίνησης, εγκαθιστώντας έναν προσαρμοσμένο διακομιστή μεσολάβησης SOCKS5 για καλύτερη διαχείριση της κυκλοφορίας δικτύου. Αυτή η στρατηγική παρείχε πρόσβαση σε κρίσιμα εσωτερικά συστήματα που συνήθως δεν είναι προσβάσιμα από την εξωτερική πλευρά.
Πηγή: Sygnia
Η πιο ενορχηστρωμένη πλευρά της επίθεσης περιλάμβανε τη διαμόρφωση ενός παραβιασμένου διακομιστή Nginx που διαμεσολάβησε αιτήματα σε έναν υποστηρικτικό διακομιστή. Οι ερευνητές εντόπισαν αλυσίδες εκτέλεσης μέσω απλών HTTP αιτημάτων, χωρίς ανάγκη για άμεση σύνδεση με το απομονωμένο δίκτυο.
Η επιμονή και η κλοπή διαπιστευτηρίων
Αφού εδραιώθηκε η πρόσβαση, οι χάκερ εστίασαν στην κλοπή διαπιστευτηρίων μέσω των Linux Pluggable Authentication Modules (PAM). Αντικατέστησαν τις νόμιμες δυνατότητες με εκδόσεις που δέχονταν κωδικούς πρόσβασης με σκληρό κώδικα, διασφαλίζοντας ότι οι διάφοροι λογαριασμοί παραμένουν εκτεθειμένοι. Η Sygnia αναφέρει ότι έχουν εντοπιστεί εννέα διαφορετικές παραλλαγές κακόβουλων μονάδων PAM, που γεγονός υποδηλώνει την καλή οργανωτικότητα και προετοιμασία των hackers.
«Ο Velvet Ant κατέστησε δυνατή τη ροή παρακολούθησης όλων των διοικητικών ενεργειών, επιτυγχάνοντας πρόσβαση στις διαδικασίες ελέγχου ταυτότητας και υπερβαίνοντας τα παραδοσιακά μέτρα ασφαλείας», δήλωσαν οι ερευνητές.
Δυσκολίες στη διαδικασία αποκατάστασης
Σύμφωνα με τους ειδικούς της Sygnia, η αποκατάσταση του δικτύου μετά την ανακάλυψη της παραβίασης ήταν δύσκολη, δεδομένου ότι οι χάκερ είχαν τροποποιήσει πολλές κρίσιμες λειτουργίες του συστήματος. Η απομάκρυνση αυτών των στοιχείων απαιτούσε προσεκτική επαναφορά και διαδικασίες ελέγχου.
Η Sygnia προτείνει μια σειρά από βήματα για την ενίσχυση της ασφάλειας, συμπεριλαμβανομένης της προστασίας των στοιχείων ελέγχου ταυτότητας με εργαλεία EDR και έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA). Οι οργανισμοί καλούνται να σχεδιάσουν τις διαδικασίες αποκατάστασης με επαρκείς αντίγραφα ασφαλείας και δοκιμές αποκαταστάσεως, ώστε να διασφαλίσουν την αποτελεσματική αναστήλωση των συστημάτων τους.
Σύμφωνα με τις τελευταίες μελέτες, οι επιθέσεις σε οργανισμούς αυξάνονται, με τις περισσότερες να είναι αόρατες και να συνιστούν σημαντική απειλή για την ασφάλεια. Η λευκή βίβλος της Picus αναλύει την ανάγκη για προληπτική προσέγγιση στην κυβερνοασφάλεια, προτείνει τη χρήση προσομοιώσεων παραβίασης για τη βελτίωση της ανθεκτικότητας των συστημάτων.
