AIO APEX
Security

فيلفيت أنت قضت 10 سنوات داخل شبكة معزولة بتخريب مصادقة لينكس

BleepingComputer
مشاركة:
فيلفيت أنت قضت 10 سنوات داخل شبكة معزولة بتخريب مصادقة لينكس

وفقاً لبحث أجرته شركة Sygnia ونشرته BleepingComputer، حافظت مجموعة تجسس إلكتروني صينية تُعرف باسم Velvet Ant على وصول سري إلى شبكة بنية تحتية حيوية معزولة (air‑gapped) لمدة تقارب عشر سنوات، بدءاً من عام 2016 وحتى اكتشافها في عام 2026. العملية – التي أُطلق عليها اسم Operation Highland – توضح أن العزل الفيزيائي للشبكة وحده ليس حماية كافية ضد خصم صبور ومتطور تقنياً.

ما هي الشبكة المعزولة (air‑gapped network) ولماذا تهم؟

الشبكة المعزولة هي شبكة لا تحتوي على أي اتصال بالإنترنت أو أي شبكة خارجية. لا يمكن لحركة المرور أن تتدفق إليها أو منها عبر رابط شبكة قياسي. غالباً ما تعتمد المؤسسات التي تدير شبكات الكهرباء أو أنظمة التحكم الصناعي أو الشبكات الحكومية المصنفة أو البنية التحتية المالية الحساسة على العزل كخط دفاع أخير – على افتراض أنه بدون مسار شبكة، لا يمكن للمهاجمين عن بُعد الوصول إلى تلك الأنظمة.

تُظهر Operation Highland أن هذا الافتراض يمكن أن يكون خاطئاً، مع توفر الوقت والتصميم الكافيين.

كيف تمكنت Velvet Ant من سد الفجوة

الهجوم تطور على مراحل، كل مرحلة وسّعت نطاق وصول المجموعة إلى عمق المؤسسة المستهدفة:

  • المرحلة 1 – موطئ قدم مواجه للإنترنت: اخترقت Velvet Ant أولاً خوادم مكشوفة للإنترنت العام، وأنشأت reverse shells و وكلاء SOCKS5 للتحرك جانبياً عبر الشبكة الداخلية العادية للمؤسسة.
  • المرحلة 2 – عبور الفجوة المعزولة: بنى المهاجمون بعد ذلك جسر تنفيذ HTTP‑to‑SSH – م Relay ينقل الأوامر من الشبكة المتصلة بالإنترنت إلى البيئة المعزولة. هذه هي الآلية التي عبرت الفجوة الفيزيائية: الشبكة المعزولة لم يكن لديها وصول للإنترنت، لكن مضيفاً داخلياً استطاع نقل التعليمات من جانب إلى آخر.
  • المرحلة 3 – تخريب حزمة المصادقة: بمجرد الدخول إلى الشبكة المعزولة، استبدلت Velvet Ant ثنائيات نظام لينكس الحيوية. تحديداً، استبدلت مكتبة PAM (وحدات المصادقة القابلة للتوصيل) وملفات OpenSSH القابلة للتنفيذ – ssh و sshd و scp – بإصدارات معدلة تحتوي على أبواب خلفية مخفية.

لماذا استبدال PAM خطير للغاية

PAM هي الطبقة في لينكس التي تدير المصادقة لكل آلية دخول تقريباً: دخول SSH، الوصول إلى وحدة التحكم المحلية، أوامر sudo، وغيرها. باستبدال PAM بنسخة مخترقة، يدمج المهاجمون أنفسهم في عملية المصادقة نفسها بدلاً من أن يكونوا عملية منفصلة يمكن اكتشافها وإيقافها.

العواقب العملية شديدة. لأن الباب الخلفي يعيش داخل حزمة المصادقة، تغيير كلمات المرور لا يفيد – كل بيانات اعتماد جديدة تُجمع في لحظة استخدامها للمصادقة. حصل المهاجمون على رؤية كاملة لجميع الأنشطة الإدارية عبر المضيفين المخترقين، وجمعوا بيانات الاعتماد من كل دخول وكل أمر نُفذ تحت جلسات مميزة. حتى التدوير الكامل لكلمات المرور كان سيوفر بيانات اعتماد جديدة مباشرة للمهاجمين.

استبدال ثنائيات OpenSSH يضاعف المشكلة: يمكن لـ sshd المخترق أن يقبل بهدوء مفاتيح يسيطر عليها المهاجم أو يسجل كل محتوى الجلسة، بينما يبدو طبيعياً لمسؤولي النظام.

عشر سنوات دون اكتشاف

المدة الزمنية لا تقل أهمية عن التقنية. حافظت Velvet Ant على هذا الوصول من 2016 حتى اكتشافها في 2026. هذا النوع من الثبات ممكن فقط عندما يكون الزرع مغروساً بعمق في مكونات النظام الموثوقة، ويندمج مع سلوك النظام المشروع، ويعمل في بيئة لا تكون فيها فحوصات سلامة الثنائيات روتينية.

البيئات المعزولة غالباً ما تتلقى اهتماماً أمنياً أقل من تلك المتصلة بالإنترنت، تحديداً لأنها تُفترض آمنة. هذا الافتراض يخلق نقطة عمياء في الكشف.

ما يجب أن يستخلصه المدافعون من هذا

تشير عملية Highland إلى عدة ثغرات شائعة حتى في البيئات عالية الأمان:

  • التحقق من سلامة الثنائيات: يجب التحقق من الثنائيات الحيوية لنظام لينكس – خاصة مكونات PAM وSSH – بشكل مشفر مقابل هاشات معروفة وجيدة. أدوات مثل aide، tripwire، أو dm‑verity على الأنظمة المضمنة يمكنها اكتشاف الاستبدالات غير المصرح بها.
  • التجزئة ليست خندقاً: العزل يبطئ المهاجمين، لكنه لا يوقفهم. أي مضيف يربط قطاعي شبكة – حتى بشكل غير مباشر – هو نقطة عبور محتملة.
  • سجلات التدقيق التي لا يمكن تعديلها بواسطة المضيف: إذا كان نظام التسجيل يعمل على نفس المضيف المخترق، يمكن لثنائي PAM أو SSH المخترق أن يخفي أو يزور الإدخالات. syslog عن بعد مع إضافة فقط إلى مستقبل خارج النطاق أمر ضروري.
  • افتراض فترات إقامة طويلة: اصطياد التهديدات في البيئات المعزولة لا ينبغي أن يفترض أن غياب التنبيهات الحديثة يعني غياب الاختراق. كانت Velvet Ant موجودة لعقد من الزمن.

عملية Velvet Ant تذكير بأن الخصوم الذين لديهم الدافع والوقت الكافيين سيجدون طرقاً للالتفاف حول العزل الفيزيائي. المعيار الذهبي لأمن العزل لا يصمد إلا إذا كان البرنامج الذي يعمل داخل ذلك المحيط يتم التحقق منه باستمرار ليكون ما يدعيه.

cybersecuritychinese-hackersvelvet-antair-gapespionagelinux-security

Originally reported by BleepingComputer. Read the original article for additional details.

View original source
مشاركة: