Китайские хакеры 10 лет шпионили внутри изолированной сети. И никто ничего не заметил

Даже изолированная сеть не гарантирует безопасность, если злоумышленники готовы годами искать обходные пути. Специалисты Sygnia раскрыли детали операции Highland, в ходе которой связанная с Китаем группировка Velvet Ant почти десять лет оставалась незамеченной внутри внутренней сети крупной организации.

По данным Sygnia, первые следы активности Velvet Ant в этой среде относятся к 2016 году. Особенность атаки заключалась в том, что целевая сеть не имела прямого выхода в интернет. Злоумышленники сначала закрепились на доступных извне серверах, затем прошли через обычную корпоративную сеть и добрались до сегмента критической инфраструктуры.

Чтобы получить начальный доступ, Velvet Ant использовала изменённую версию GS-Netcat, которая создавала скрытую обратную командную оболочку. Файл маскировался под системную утилиту auditdb и размещался в каталоге /usr/sbin/. На разных серверах группировка закреплялась по-разному: через службы systemd или через старые сценарии запуска SysVinit.

Параллельно злоумышленники развернули прокси SOCKS5 на Perl, чтобы скрытно перенаправлять сетевой трафик и двигаться дальше по инфраструктуре. Процессы маскировались под легитимные системные службы, а имена файлов, порты и названия процессов менялись от узла к узлу – это мешало отследить общую схему атаки.

Главный удар пришёлся не по отдельным серверам, а по механизму входа в систему. Velvet Ant заменила модули PAM и компоненты OpenSSH на вредоносные версии. Такие изменения позволяли обходить обычную проверку паролей, перехватывать учётные данные и записывать команды администраторов.

Специалисты нашли девять вариантов изменённого pam_unix.so. Часть модулей принимала встроенный пароль для скрытого входа, а часть дополнительно сохраняла логины и пароли пользователей в скрытый файл. Каждый вариант собирался в отдельной среде, что указывает на хорошо подготовленную и заранее выстроенную операцию.

Изменённые файлы ssh, sshd и scp тоже получили вредоносные функции. Они записывали пароли, фиксировали команды в оболочке, скрывали следы активности и даже могли отключать SELinux при запуске с правами root. В одном из вариантов ssh была добавлена специальная опция, которая позволяла самим злоумышленникам отключать запись собственных действий.

Velvet Ant также добавила свои открытые ключи в authorized_keys на скомпрометированных серверах. Такой способ давал устойчивый доступ без пароля и работал независимо от изменённых системных файлов.

Устранить последствия атаки оказалось особенно сложно. Злоумышленники встроились в те самые компоненты, через которые администраторы получают доступ к серверам. Ошибка при замене PAM или OpenSSH могла просто заблокировать доступ к критическим системам и вызвать простой.

Команде реагирования пришлось сначала проверить, как системы восстанавливаются в лабораторной среде, затем подобрать корректные версии компонентов для разных систем и только после этого переносить исправления в изолированную сеть. После каждого шага специалисты проверяли, что вход по SSH и обычная аутентификация продолжают работать.

Sygnia считает Operation Highland примером того, как скрытная группировка может годами жить внутри инфраструктуры без громких вредоносных программ и заметных срабатываний. Velvet Ant не просто закрепилась на отдельных узлах, а получила контроль над самим процессом входа в системы. Такой уровень компрометации требует не просто зачистить систему, а полностью пересмотреть доверие к базовым механизмам администрирования.