AIO APEX
Security

ولوت آنت با تخریب احراز هویت لینوکس، ده سال درون شبکه ایزوله پنهان ماند

BleepingComputer
اشتراک‌گذاری:
ولوت آنت با تخریب احراز هویت لینوکس، ده سال درون شبکه ایزوله پنهان ماند

بر اساس تحقیقات شرکت Sygnia که توسط BleepingComputer گزارش شده است، یک گروه جاسوسی سایبری چینی به نام Velvet Ant از سال ۲۰۱۶ تا ۲۰۲۶ به مدت تقریباً ده سال دسترسی مخفیانه به یک شبکه زیرساخت حیاتی ایزوله (air‑gapped) را حفظ کرده است. این عملیات که Operation Highland نام گرفته، نشان می‌دهد که جداسازی فیزیکی شبکه به تنهایی برای محافظت در برابر یک دشمن صبور و از نظر فنی پیچیده کافی نیست.

شبکه ایزوله چیست و چرا اهمیت دارد؟

یک شبکه ایزوله (air‑gapped network) شبکه‌ای است که هیچ اتصالی به اینترنت یا هر شبکه خارجی دیگری ندارد. ترافیک نمی‌تواند از طریق یک پیوند شبکه معمولی به داخل یا خارج جریان یابد. سازمان‌هایی که شبکه‌های برق، سیستم‌های کنترل صنعتی، شبکه‌های دولتی طبقه‌بندی شده یا زیرساخت‌های مالی حساس را اداره می‌کنند، اغلب به عنوان آخرین خط دفاعی خود بر ایزولگی تکیه می‌کنند. فرض بر این است که بدون یک مسیر شبکه، مهاجمان از راه دور به سادگی نمی‌توانند به آن سیستم‌ها دسترسی پیدا کنند.

Operation Highland نشان می‌دهد که با وجود زمان و عزم کافی، این فرض می‌تواند اشتباه باشد.

چگونه Velvet Ant شکاف را پر کرد

حمله به صورت مرحله‌ای انجام شد و هر مرحله دامنه دسترسی گروه را به عمق سازمان هدف گسترش می‌داد:

  • مرحله ۱ – جای پا در معرض اینترنت: Velvet Ant ابتدا سرورهایی که در معرض اینترنت عمومی بودند را نفوذ کرد و با ایجاد reverse shells و پروکسی‌های SOCKS5 به صورت جانبی در شبکه داخلی معمولی سازمان حرکت کرد.
  • مرحله ۲ – عبور از ایزولگی: مهاجمان سپس یک پل اجرایی HTTP‑to‑SSH ساختند؛ یک رله که دستورات را از شبکه متصل به اینترنت به محیط ایزوله منتقل می‌کرد. این مکانیسمی بود که از نظر فیزیکی از ایزولگی عبور می‌کرد: شبکه ایزوله دسترسی به اینترنت نداشت، اما یک میزبان داخلی می‌توانست دستورات را از یک طرف به طرف دیگر رله کند.
  • مرحله ۳ – تخریب پشته احراز هویت: پس از ورود به شبکه ایزوله، Velvet Ant باینری‌های حیاتی سیستم لینوکس را جایگزین کرد. به طور خاص، کتابخانه PAM (پیمانه‌های احراز هویت قابل اتصال) و اجرایی‌های OpenSSHssh، sshd و scp – را با نسخه‌های اصلاح شده‌ای که حاوی بک‌دورهای پنهان بودند تعویض کرد.

چرا جایگزینی PAM اینقدر خطرناک است

PAM لایه‌ای از لینوکس است که احراز هویت را برای تقریباً هر مکانیزم ورود – ورود SSH، دسترسی کنسول محلی، دستورات sudo و غیره – مدیریت می‌کند. با جایگزینی PAM با یک نسخه تخریب شده، مهاجمان خود را درون فرایند احراز هویت جاسازی می‌کنند، نه به عنوان یک فرایند جداگانه که قابل شناسایی و خاموش شدن باشد.

پیامدهای عملی شدید است. از آنجایی که بک‌دور درون پشته احراز هویت قرار دارد، تغییر رمزهای عبور هیچ تأثیری ندارد – هر کلمه عبور جدید در لحظه استفاده برای احراز هویت برداشت می‌شود. مهاجمان به تمام فعالیت‌های مدیریتی در میزبان‌های نفوذ شده دسترسی کامل داشتند و از هر ورود و هر دستور اجرا شده در جلسات دارای امتیاز، اعتبارنامه جمع‌آوری می‌کردند. حتی یک چرخش کامل رمز عبور، اعتبارنامه‌های تازه را مستقیماً به مهاجمان می‌رساند.

جایگزینی باینری‌های OpenSSH این وضعیت را تشدید می‌کند: sshd تخریب شده می‌توانست کلیدهای تحت کنترل مهاجم را به طور بی‌صدا بپذیرد یا همه محتوای جلسه را ثبت کند، در حالی که برای مدیران سیستم عادی به نظر برسد.

ده سال ناشناخته

مدت زمان به اندازه تکنیک مهم است. Velvet Ant این دسترسی را از سال ۲۰۱۶ تا کشف آن در سال ۲۰۲۶ حفظ کرد. این نوع ماندگاری تنها زمانی ممکن است که بدافزار در اجزای قابل اعتماد سیستم عمیقاً جاسازی شده باشد، با رفتار سیستمی مشروع ترکیب شود و در محیطی کار کند که بررسی یکپارچگی باینری به صورت معمول انجام نمی‌شود.

محیط‌های ایزوله اغلب کمتر از محیط‌های متصل به اینترنت مورد بررسی امنیتی قرار می‌گیرند، دقیقاً به این دلیل که فرض می‌شود ایمن هستند. این فرض یک نقطه کور شناسایی ایجاد می‌کند.

مدافعان چه باید از این بیاموزند

Operation Highland به چندین شکاف اشاره دارد که حتی در محیط‌های امنیتی بالا رایج هستند:

  • تأیید یکپارچگی باینری: باینری‌های حیاتی لینوکس – به ویژه اجزای PAM و SSH – باید از نظر رمزنگاری در برابر هش‌های شناخته‌شده خوب تأیید شوند. ابزارهایی مانند aide، tripwire یا dm‑verity در سیستم‌های جاسازی شده می‌توانند جایگزینی‌های غیرمجاز را شناسایی کنند.
  • تکه‌تکه‌سازی خندق نیست: ایزولگی مهاجمان را کند می‌کند، اما متوقف نمی‌کند. هر میزبانی که دو بخش شبکه را به هم متصل می‌کند – حتی به طور غیرمستقیم – یک نقطه عبور بالقوه است.
  • ثبت رویداد به گونه‌ای که توسط میزبان قابل تغییر نباشد: اگر سیستم ثبت رویداد روی همان میزبان نفوذ شده اجرا شود، یک باینری PAM یا SSH تخریب شده می‌تواند ورودی‌ها را سرکوب یا جعل کند. استفاده از syslog دور فقط‌اضافه به یک گیرنده خارج از باند ضروری است.
  • فرض زمان اقامت طولانی: شکار تهدید در محیط‌های ایزوله نباید فرض کند که عدم وجود هشدارهای اخیر به معنای عدم نفوذ است. Velvet Ant یک دهه در داخل بود.

عملیات Velvet Ant یادآوری است که دشمنان با انگیزه و زمان کافی، راه‌هایی برای دور زدن ایزولگی فیزیکی پیدا خواهند کرد. استاندارد طلایی امنیت ایزولگی تنها زمانی پابرجاست که نرم‌افزار درون آن محیط به طور مداوم تأیید شود که همان چیزی است که ادعا می‌کند.

cybersecuritychinese-hackersvelvet-antair-gapespionagelinux-security

Originally reported by BleepingComputer. Read the original article for additional details.

View original source
اشتراک‌گذاری: