Nhóm hacker liên kết với Trung Quốc cài cắm backdoor vào hệ thống đăng nhập Linux suốt gần một thập kỷ
Nhóm tin tặc Velvet Ant đã duy trì sự hiện diện âm thầm trong các hệ thống Linux suốt từ năm 2016 bằng cách can thiệp trực tiếp vào các thành phần xác thực PAM và...
Một nhóm tin tặc có liên kết với Trung Quốc, được các chuyên gia bảo mật tại Sygnia đặt tên là Velvet Ant, đã thực hiện một chiến dịch tấn công tinh vi kéo dài gần 10 năm. Thay vì sử dụng các loại malware thông thường dễ bị phát hiện, nhóm này đã trực tiếp can thiệp vào các thành phần cốt lõi của hệ thống đăng nhập Linux.
Table Of Content
Phương thức tấn công “ẩn mình”
Theo báo cáo từ Sygnia, Velvet Ant đã nhắm mục tiêu vào các thành phần PAM (Pluggable Authentication Modules) và OpenSSH. Bằng cách thay thế các tệp tin hệ thống này bằng những phiên bản đã bị cài cắm backdoor, kẻ tấn công có thể kiểm soát quyền truy cập mà không cần sử dụng bất kỳ exploit hay lỗ hổng zero-day nào. Điều này khiến hành vi của chúng trông giống như các thao tác quản trị hệ thống thông thường.
Các phiên bản backdoor này không chỉ cho phép kẻ tấn công đăng nhập bằng mật khẩu bí mật mà còn âm thầm ghi lại thông tin đăng nhập của người dùng hợp lệ. Các nhà nghiên cứu đã phát hiện tới 9 biến thể khác nhau của các chương trình này, bao gồm cả khả năng ghi lại mọi lệnh được nhập vào hệ thống.
Thâm nhập vào mạng lưới cô lập
Để tiếp cận các phân đoạn mạng không có kết nối internet trực tiếp, Velvet Ant đã sử dụng các hệ thống web server hướng ngoại làm cầu nối. Thông qua đó, chúng chuyển tiếp các lệnh để mở phiên làm việc từ xa vào sâu bên trong mạng nội bộ. Chiến thuật này cho thấy sự kiên trì và khả năng tính toán kỹ lưỡng của nhóm tin tặc.
Do hệ thống xác thực chính đã bị thỏa hiệp, các biện pháp bảo mật thông thường như đặt lại mật khẩu hay ngắt phiên làm việc đều trở nên vô hiệu, vì chính cơ chế kiểm tra thông tin đăng nhập đã bị kẻ tấn công kiểm soát.
Bài học về bảo mật hạ tầng
Trước đây, Velvet Ant cũng từng được ghi nhận với các chiến dịch tấn công vào thiết bị F5 BIG-IP và khai thác lỗ hổng CVE-2024-20399 trên Cisco NX-OS để duy trì sự hiện diện bền bỉ. Chiến dịch lần này, được gọi là “Operation Highland”, một lần nữa nhấn mạnh rằng các thành phần hạ tầng quan trọng thường bị bỏ qua trong quá trình giám sát an ninh.
Các chuyên gia khuyến nghị:
- Giám sát chặt chẽ tệp tin đăng nhập: Theo dõi các thay đổi bất thường đối với các chương trình PAM và OpenSSH.
- Kiểm tra tính toàn vẹn: So sánh các tệp tin hệ thống hiện tại với các bản sao sạch (known-good copies) thay vì chỉ dựa vào cảnh báo từ phần mềm bảo mật.
- Quy trình xử lý: Phải loại bỏ hoàn toàn backdoor trước khi thực hiện đặt lại mật khẩu, đồng thời kiểm tra kỹ các thay đổi trong môi trường lab trước khi áp dụng lên hệ thống thực tế.
Sự việc này là lời nhắc nhở rằng, trong môi trường doanh nghiệp, việc kiểm tra tính toàn vẹn của các lớp xác thực là vô cùng cần thiết để chống lại các cuộc tấn công dai dẳng và tinh vi.
Nguồn tham khảo: The Hacker News
No Comment! Be the first one.