AIO APEX
Security

Velvet Ant passou 10 anos dentro de uma rede air‑gapped ao trojanizar a autenticação do Linux

BleepingComputer
Compartilhar:
Velvet Ant passou 10 anos dentro de uma rede air‑gapped ao trojanizar a autenticação do Linux

Um grupo chinês de ciberespionagem conhecido como Velvet Ant manteve acesso encoberto a uma rede air‑gapped de infraestrutura crítica por aproximadamente dez anos, começando em 2016 e descoberto apenas em 2026, de acordo com pesquisa da Sygnia reportada pelo BleepingComputer. A operação — apelidada de Operation Highland — ilustra que o isolamento físico da rede por si só não é proteção suficiente contra um adversário paciente e tecnicamente sofisticado.

O que é uma rede air‑gapped e por que isso importa?

Uma rede air‑gapped é aquela que não tem conexão com a internet ou qualquer rede externa. O tráfego não pode fluir para dentro ou para fora através de um link de rede padrão. Organizações que operam redes elétricas, sistemas de controle industrial, redes governamentais classificadas ou infraestrutura financeira sensível frequentemente confiam no air gap como sua última linha de defesa — presumindo que, sem um caminho de rede, atacantes remotos simplesmente não conseguem alcançar esses sistemas.

Operation Highland mostra que essa suposição pode estar errada, dado tempo e determinação suficientes.

Como a Velvet Ant superou a lacuna

O ataque se desenrolou em estágios, cada um estendendo o alcance do grupo mais profundamente na organização alvo:

  • Estágio 1 — Ponto de apoio voltado para a internet: A Velvet Ant primeiro comprometeu servidores expostos à internet pública, estabelecendo reverse shells e proxies SOCKS5 para se mover lateralmente pela rede interna regular da organização.
  • Estágio 2 — Atravessando o air gap: Os atacantes então construíram uma ponte de execução HTTP‑to‑SSH — um relay que encaminhava comandos da rede conectada à internet para o ambiente isolado. Este é o mecanismo que fisicamente cruzou o air gap: a rede isolada não tinha acesso à internet, mas um host interno podia retransmitir instruções de um lado para o outro.
  • Estágio 3 — Trojanizando a pilha de autenticação: Uma vez dentro da rede isolada, a Velvet Ant substituiu binários críticos do sistema Linux. Especificamente, eles trocaram a biblioteca legítima PAM (Pluggable Authentication Modules) e os executáveis OpenSSHssh, sshd e scp — por versões modificadas contendo backdoors ocultos.

Por que substituir o PAM é tão perigoso

O PAM é a camada do Linux que lida com a autenticação para praticamente todos os mecanismos de login: logins SSH, acesso ao console local, comandos sudo e muito mais. Ao substituir o PAM por uma versão trojanizada, os atacantes se inserem no próprio processo de autenticação, em vez de estarem como um processo separado que poderia ser detectado e morto.

As consequências práticas são severas. Como o backdoor vive dentro da pilha de autenticação, mudar as senhas não adianta nada — cada nova credencial é colhida no momento em que é usada para autenticar. Os atacantes obtiveram visibilidade total sobre todas as atividades administrativas nos hosts comprometidos, coletando credenciais de cada login e cada comando executado sob sessões privilegiadas. Mesmo uma rotação completa de senhas alimentaria novas credenciais diretamente aos atacantes.

Substituir os binários OpenSSH agrava isso: o sshd trojanizado podia aceitar silenciosamente chaves controladas pelo atacante ou registrar todo o conteúdo da sessão, enquanto parecia funcionar normalmente para os administradores do sistema.

Dez anos não detectado

A duração é tão significativa quanto a técnica. A Velvet Ant manteve esse acesso de 2016 até sua descoberta em 2026. Esse tipo de persistência só é possível quando o implante está profundamente embutido em componentes confiáveis do sistema, se mistura com o comportamento legítimo do sistema e opera em um ambiente onde verificações de integridade de binários não são rotineiras.

Ambientes air‑gapped frequentemente recebem menos escrutínio de segurança do que os conectados à internet, precisamente porque são considerados seguros. Essa suposição cria um ponto cego de detecção.

O que os defensores devem tirar disso

Operation Highland aponta várias lacunas comuns mesmo em ambientes de alta segurança:

  • Verificação de integridade de binários: Os binários críticos do Linux — especialmente os componentes PAM e SSH — devem ser verificados criptograficamente contra hashes conhecidos. Ferramentas como aide, tripwire ou dm‑verity em sistemas embarcados podem detectar substituições não autorizadas.
  • Segmentação não é um fosso: Air gaps retardam os atacantes; não os param. Qualquer host que conecte dois segmentos de rede — mesmo indiretamente — é um ponto de cruzamento potencial.
  • Registro de auditoria que não possa ser modificado pelo host: Se o sistema de logs roda no mesmo host comprometido, um binário PAM ou SSH trojanizado pode suprimir ou falsificar entradas. Um syslog remoto somente de acréscimo para um receptor fora da banda é essencial.
  • Assumir longos tempos de permanência: A caça a ameaças em ambientes isolados não deve presumir que a ausência de alertas recentes significa ausência de comprometimento. A Velvet Ant esteve dentro por uma década.

A operação Velvet Ant é um lembrete de que adversários com motivação e tempo suficientes encontrarão maneiras de contornar o isolamento físico. O padrão ouro da segurança air‑gap só se sustenta se o software executado dentro desse perímetro for continuamente verificado para ser o que alega ser.

cybersecuritychinese-hackersvelvet-antair-gapespionagelinux-security

Originally reported by BleepingComputer. Read the original article for additional details.

View original source
Compartilhar: