Hackers chineses assumiram o controle da pilha de autenticação de uma organização-alvo e mantiveram persistência por 10 anos, com visibilidade total sobre a atividade administrativa.
Batizada de “Operation Highland”, a intrusão foi atribuída ao grupo de ciberespionagem Velvet Ant, que explorou sistemas expostos à internet com falhas antes de avançar para uma rede sem caminho externo direto.
O cluster de atividade Velvet Ant invadiu a rede isolada de uma grande organização de infraestrutura crítica e conduziu operações de ciberespionagem ao longo de uma década.
A campanha, identificada por pesquisadores da Sygnia, começou em 2016 e mirou sistemas vulneráveis expostos à internet antes de avançar para um ambiente “air-gapped”, sem conexão direta com a internet.
As operações prolongadas de espionagem do Velvet Ant já haviam sido documentadas em 2024, quando a Sygnia alertou para uma campanha contra dispositivos F5 BIG-IP que permaneceu indetectada por três anos.
Ainda em 2024, a Cisco informou a existência de uma zero-day no NX-OS, usado em switches Nexus, explorada pelo Velvet Ant para obter acesso aos alvos.
O ataque começou com a invasão de servidores expostos à internet, embora os pesquisadores não tenham citado o produto específico nem a vulnerabilidade explorada. Para manter acesso remoto, o Velvet Ant implantou uma versão modificada do GS-Netcat, uma reverse shell disfarçada de componente legítimo do sistema, que se conectava a um domínio de relay codificado em hardcoded e fornecia acesso remoto criptografado ao shell.
A persistência era mantida por meio de um serviço malicioso do systemd ou da alteração de scripts de inicialização. Em seguida, o grupo instalou um proxy SOCKS5 personalizado para tunelamento do tráfego de rede, o que permitiu alcançar sistemas internos sem acesso direto pela internet. O proxy operava como um daemon disfarçado de “smbd -D”, usando nomes de arquivo e portas diferentes em cada host e transformando os servidores comprometidos em pontos internos de pivotagem.
A parte mais relevante do ataque foi a criação de um caminho de execução remota dentro da rede isolada. Para isso, o Velvet Ant alterou a configuração de um servidor Nginx comprometido e exposto à internet para encaminhar requisições especialmente preparadas a um servidor backend também comprometido. A configuração do Nginx no servidor backend foi igualmente modificada para repassar as requisições a um processo FastCGI, o fcgiwrap, que escutava em uma porta separada. O wrapper FastCGI funcionou como uma ponte de execução, processando as requisições e acionando um binário personalizado chamado “uptime”. A ferramenta estabelecia conexões SSH com sistemas dentro da rede isolada de infraestrutura crítica usando parâmetros fornecidos em requisições HTTP POST.
Depois de consolidar o acesso ao ambiente isolado, o Velvet Ant passou a priorizar persistência de longo prazo e roubo de credenciais, mirando os Linux Pluggable Authentication Modules, o PAM, conjunto de bibliotecas que permite aos administradores definir métodos de autenticação de usuários. Os invasores substituíram módulos legítimos “pam_unix.so” por versões com backdoor, capazes de aceitar senhas codificadas em hardcoded e capturar credenciais de usuários.
A Sygnia identificou nove variantes distintas do módulo malicioso de PAM, cada uma compilada em um ambiente de build separado, o que indica um threat actor bem financiado e com recursos consideráveis. Segundo os pesquisadores, dois dos módulos maliciosos de PAM se destacam por atuarem apenas como backdoor e por coletarem credenciais.
Os atores do Velvet Ant também substituíram componentes do OpenSSH, como ssh, sshd e scp, por versões trojanizadas que capturavam credenciais, registravam comandos digitados durante sessões SSH e armazenavam localmente os dados coletados para posterior recuperação. Ao estender o controle ao processo de autenticação por meio da modificação dos componentes de PAM e OpenSSH, o threat actor passou a ter acesso às credenciais no momento em que eram usadas no ambiente-alvo e conseguiu contornar o fluxo de autenticação.
“A atividade administrativa tornou-se totalmente visível: cada login; cada comando executado nos hosts comprometidos. O acesso deixou de estar ligado a um ponto de entrada específico e passou a estar incorporado ao próprio processo de autenticação”, explicam os pesquisadores.
Dessa forma, os hackers garantiram a persistência mesmo após trocas de senha e encerramento de sessões, além de reduzir a eficácia de medidas convencionais de contenção.
A Sygnia afirma que, mesmo depois da descoberta da invasão, remediar o incidente e remover o Velvet Ant do ambiente comprometido foi particularmente complexo. Os threat actors haviam substituído tantos componentes críticos por versões personalizadas que removê-los provavelmente quebraria a autenticação, impediria o acesso de administradores legítimos e causaria interrupções operacionais.
Para enfrentar esse problema, os pesquisadores montaram um laboratório de testes para validar o processo de substituição de binários, mapearam cada host, testaram os resultados e prepararam procedimentos de rollback antes de iniciar a limpeza.
A Sygnia recomenda que as equipes de defesa tratem componentes de autenticação, como PAM, OpenSSH e o LSASS do Windows, como ativos críticos de segurança e os protejam com EDR, monitoramento de integridade de arquivos, acesso privilegiado endurecido, MFA e monitoramento contínuo de modificações não autorizadas. As organizações também devem planejar recuperação offline, com backups rigorosos e uma rotina adequada para criação automática de snapshots com cópias imutáveis.
O processo de restauração deve incluir testes dos backups e dos hosts de recuperação, com sistemas operacionais validados e scripts de recuperação previamente verificados.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...