中國駭客組織Velvet Ant滲透關鍵基礎設施，潛伏隔離網路環境近十年

Sygina近日公布Operation Highland攻擊行動，Velvet Ant至少從2016年開始，在完全與網際網路隔離的關鍵基礎設施網路潛伏將近十年而未被察覺。Sygina認為，這是迄今Velvet Ant最為複雜精密的攻擊活動。

在整個攻擊活動裡，Velvet Ant採取三階段滲透策略，逐步突破層層防線。首先，他們在面向網際網路的伺服器上部署GS-Netcat，作為反向Shell及SOCKS5代理伺服器，並將其偽裝成Chrome服務或系統處理程序，以規避資安偵測，建立初始存取管道。接著，該組織利用Nginx與FastCGI建立執行命令的橋樑，透過HTTP請求穿越IT網路環境，在無需對目標建立直接連線的情況下，即可抵達隔離網路環境的關鍵基礎設施網段。最終，攻擊者篡改Linux PAM認證模組與OpenSSH程式，植入後門密碼並竊取憑證，同時在authorized_keys中植入公鑰，建立三重持久化機制，將整個環境置於自身掌控之下。

此次行動最引起Sygina注意的地方，在於攻擊者選擇控制身分驗證的環節，而非僅在系統上留下惡意程式。Sygnia在多臺主機發現9種不同版本的後門化PAM模組，這些惡意模組透過完全不同的開發環境編譯而成，顯示此攻擊行動背後有龐大資源支撐、組織高度嚴密，且具備針對不同目標環境量身打造工具的能力。由於攻擊者控制管理員用來遠端管理主機的核心元件，光是執行更換密碼等傳統應變措施，在此幾乎完全失效。該公司提及，若是受害組織的IT人員處理不慎，有可能被鎖死在系統外，甚至造成關鍵基礎設施的系統服務中斷。