Хакери з Китаю зламали ізольовану мережу та залишалися там майже десятиліття

Компанія Syg­nia розкрила деталі масштабної кібероперації під назвою High­land — китайське угруповання Vel­vet Ant майже десять років залишалося непоміченим усередині внутрішньої мережі великої організації. Перші сліди активності зловмисників датуються 2016 роком. Мережа, яку вони атакували, не мала прямого виходу в інтернет, що теоретично мало забезпечувати її захист.

Щоб проникнути в ізольований сегмент, Vel­vet Ant спочатку закріпилася на серверах із зовнішнім доступом, потім пройшла через звичайну корпоративну мережу і врешті дісталася критичної інфраструктури. Для початкового проникнення хакери використали модифіковану версію GS-Net­cat, яка створювала приховану зворотну командну оболонку. Шкідливий файл маскувався під системну утиліту audit­db і розміщувався у каталозі /usr/sbin/. Закріплення на різних серверах відбувалося через служби sys­temd або застарілі сценарії запуску SysVinit.

Паралельно зловмисники розгорнули SOCK­S5-проксі на Perl для прихованого перенаправлення трафіку. Процеси маскувалися під легітимні системні служби, а імена файлів, порти та назви процесів змінювалися від вузла до вузла — це унеможливлювало відстеження загальної схеми атаки.

Головним інструментом контролю стала підміна базових механізмів автентифікації. Vel­vet Ant замінила модулі PAM та компоненти OpenSSH на шкідливі версії. Дослідники виявили дев’ять варіантів модифікованого pam_unix.so: одні приймали вбудований пароль для прихованого входу, інші додатково зберігали облікові дані користувачів у схований файл. Кожен варіант збирався в окремому середовищі, що свідчить про ретельно спланувану операцію. Змінені файли ssh, sshd і scp записували паролі, фіксували команди в оболонці, приховували сліди активності й навіть могли вимикати SELin­ux під час запуску з правами root. Окрім цього, хакери додали власні відкриті ключі до authorized_keys на скомпрометованих серверах — це давало стійкий доступ без пароля, незалежний від підмінених системних файлів.

Усунення наслідків атаки виявилося надзвичайно складним завданням. Зловмисники впровадилися саме в ті компоненти, через які адміністратори отримують доступ до серверів. Невірна заміна PAM або OpenSSH могла заблокувати доступ до критичних систем і спричинити їх простій. Команді реагування довелося спочатку відпрацювати відновлення в лабораторному середовищі, підібрати правильні версії компонентів для різних систем і лише потім переносити виправлення в ізольовану мережу. Після кожного кроку фахівці перевіряли, що SSH-вхід і стандартна автентифікація продовжують працювати.

Syg­nia називає Oper­a­tion High­land прикладом того, як приховане угруповання може роками існувати всередині інфраструктури без гучного шкідливого програмного забезпечення і без спрацювань систем безпеки. Vel­vet Ant не просто закріпилася на окремих вузлах — вона отримала контроль над самим процесом входу в системи. Такий рівень компрометації вимагає не просто очистити інфраструктуру, а повністю переосмислити довіру до базових механізмів адміністрування.