AIO APEX
Security

Velvet Ant pasó 10 años dentro de una red aislada (air‑gapped) troyanizando la autenticación de Linux

BleepingComputer
Compartir:
Velvet Ant pasó 10 años dentro de una red aislada (air‑gapped) troyanizando la autenticación de Linux

Un grupo chino de ciberespionaje conocido como Velvet Ant mantuvo acceso encubierto a una red aislada (air‑gapped) de infraestructura crítica durante aproximadamente diez años, comenzando en 2016 y descubierto recién en 2026, según una investigación de Sygnia reportada por BleepingComputer. La operación — denominada Operation Highland — ilustra que el aislamiento físico de la red por sí solo no es protección suficiente contra un adversario paciente y técnicamente sofisticado.

¿Qué es una red aislada (air‑gapped) y por qué es importante?

Una red aislada (air‑gapped network) es aquella que no tiene conexión a internet ni a ninguna red externa. El tráfico no puede fluir hacia adentro o hacia afuera a través de un enlace de red estándar. Las organizaciones que operan redes eléctricas, sistemas de control industrial, redes gubernamentales clasificadas o infraestructura financiera sensible a menudo recurren al aislamiento como su última línea de defensa, asumiendo que sin una ruta de red, los atacantes remotos simplemente no pueden alcanzar esos sistemas.

Operation Highland demuestra que esa suposición puede ser errónea, dado el tiempo y la determinación suficientes.

Cómo Velvet Ant superó la brecha

El ataque se desarrolló en etapas, cada una extendiendo el alcance del grupo más profundamente en la organización objetivo:

  • Etapa 1 — Punto de apoyo en Internet: Velvet Ant primero comprometió servidores expuestos a internet público, estableciendo reverse shells y proxies SOCKS5 para moverse lateralmente a través de la red interna regular de la organización.
  • Etapa 2 — Cruzando el aire gap: Los atacantes construyeron luego un puente de ejecución HTTP‑to‑SSH — un relay que reenviaba comandos desde la red conectada a internet hacia el entorno aislado. Este es el mecanismo que cruzó físicamente el air gap: la red aislada no tenía acceso a internet, pero un host interno podía retransmitir instrucciones de un lado al otro.
  • Etapa 3 — Troyanizando la pila de autenticación: Una vez dentro de la red aislada, Velvet Ant reemplazó binarios críticos del sistema Linux. Específicamente, intercambiaron la biblioteca legítima PAM (Pluggable Authentication Modules) y los ejecutables de OpenSSHssh, sshd y scp — con versiones modificadas que contenían backdoors ocultos.

Por qué reemplazar PAM es tan peligroso

PAM es la capa de Linux que maneja la autenticación para prácticamente todos los mecanismos de inicio de sesión: inicios de sesión SSH, acceso a consola local, comandos sudo y más. Al reemplazar PAM con una versión troyanizada, los atacantes se incrustan en el propio proceso de autenticación en lugar de estar como un proceso separado que podría ser detectado y eliminado.

Las consecuencias prácticas son severas. Debido a que el backdoor vive dentro de la pila de autenticación, cambiar las contraseñas no sirve de nada — cada nueva credencial es cosechada en el momento en que se usa para autenticar. Los atacantes obtuvieron visibilidad total de toda la actividad administrativa en los hosts comprometidos, recopilando credenciales de cada inicio de sesión y cada comando ejecutado bajo sesiones privilegiadas. Incluso una rotación completa de contraseñas alimentaría nuevas credenciales directamente a los atacantes.

Reemplazar los binarios de OpenSSH agrava esto: el sshd troyanizado podía aceptar silenciosamente claves controladas por el atacante o registrar todo el contenido de la sesión, mientras aparentaba funcionar normalmente para los administradores del sistema.

Diez años sin ser detectado

La duración es tan significativa como la técnica. Velvet Ant mantuvo este acceso desde 2016 hasta su descubrimiento en 2026. Ese tipo de persistencia solo es posible cuando el implante está profundamente incrustado en componentes de sistema de confianza, se mezcla con el comportamiento legítimo del sistema y opera en un entorno donde las comprobaciones de integridad de binarios no son rutinarias.

Los entornos aislados a menudo reciben menos escrutinio de seguridad que los conectados a internet, precisamente porque se asume que son seguros. Esa suposición crea un punto ciego de detección.

Qué deberían aprender los defensores de esto

Operation Highland señala varias brechas que son comunes incluso en entornos de alta seguridad:

  • Verificación de integridad de binarios: Los binarios críticos de Linux — especialmente los componentes de PAM y SSH — deberían verificarse criptográficamente contra hashes conocidos y buenos. Herramientas como aide, tripwire o dm‑verity en sistemas embebidos pueden detectar reemplazos no autorizados.
  • La segmentación no es un foso: Los air gaps ralentizan a los atacantes; no los detienen. Cualquier host que conecte dos segmentos de red — incluso indirectamente — es un punto de cruce potencial.
  • Registro de auditoría que no pueda ser modificado por el host: Si el sistema de registros se ejecuta en el mismo host comprometido, un binario troyanizado de PAM o SSH puede suprimir o falsificar entradas. El syslog remoto de solo adición a un receptor fuera de banda es esencial.
  • Asumir tiempos de permanencia largos: La caza de amenazas en entornos aislados no debe asumir que la ausencia de alertas recientes significa ausencia de compromiso. Velvet Ant estuvo dentro durante una década.

La operación Velvet Ant es un recordatorio de que los adversarios con suficiente motivación y tiempo encontrarán formas de sortear el aislamiento físico. El estándar de oro de la seguridad de air gap solo se mantiene si el software que se ejecuta dentro de ese perímetro se verifica continuamente para ser lo que dice ser.

cybersecuritychinese-hackersvelvet-antair-gapespionagelinux-security

Originally reported by BleepingComputer. Read the original article for additional details.

View original source
Compartir: