En lugar de esconderse en las computadoras portátiles y servidores que los defensores vigilan más de cerca, un grupo del nexo con China pasó cerca de una década escondido dentro del propio sistema de inicio de sesión de Linux.
Sygnia, que rastrea al grupo como Hormiga de terciopelodice que puso una puerta trasera en los componentes PAM y OpenSSH que deciden quién puede iniciar sesión, colocando su acceso donde la limpieza ordinaria no podría alcanzarlo. La red a la que apuntaba no tenía acceso directo a Internet, por lo que el grupo primero utilizó sistemas conectados a Internet para llegar allí.
Los primeros rastros se remontan a 2016. En lugar de lanzar nuevo malware que un escáner podría detectar, el atacante cambió los propios programas de inicio de sesión confiables. No apareció nada obvio y no fue necesario ningún exploit, por lo que la actividad parecía una administración normal.
En muchas máquinas, el atacante reemplazó el módulo de inicio de sesión PAM principal con copias con puerta trasera. Algunos les dejan entrar con una contraseña secreta; otros registraron silenciosamente nombres de usuarios y contraseñas reales cuando las personas iniciaron sesión.
Los investigadores encontraron nueve versiones distintas. Los programas OpenSSH se modificaron de la misma manera, registrando las credenciales y cada comando escrito, con un interruptor oculto para desactivar ese registro cuando fuera necesario.
Llegar a la red aislada requirió un trabajo extra. El atacante utilizó otras herramientas encubiertas y un servidor web con acceso a Internet como puente, pasando comandos a través de él para abrir sesiones remotas en lo más profundo del segmento que no tenía acceso directo a Internet.
Debido a que el propio sistema de inicio de sesión se vio comprometido, la contención normal sirvió de poco. Los restablecimientos de contraseñas y las sesiones canceladas no ayudan cuando lo que verifica esas credenciales está funcionando para el atacante.
Esto no es nuevo para el grupo. Cada vez que los defensores encuentran un punto de apoyo, Velvet Ant se mueve hacia el equipo que miran menos y se instala allí. en un caso 2024Sygnia descubrió que el mismo actor convertía dispositivos F5 BIG-IP expuestos a Internet en servidores de comando internos.
Más tarde ese año, informó que el grupo explotaba una falla de Cisco NX-OS, CVE-2024-20399para colocar una puerta trasera en los interruptores. Ese error necesita primero acceso de administrador, por lo que es una herramienta de persistencia, no una irrupción remota. Cisco lo parchó en julio de 2024 y CISA lo marcó como explotado al día siguiente.
Operación Highland Es la misma idea, un nivel más profundo. Los balanceadores de carga, los conmutadores y el propio software de inicio de sesión son confiables de forma predeterminada y rara vez se verifican, razón por la cual un atacante paciente se esconde dentro de ellos.
La Operación Highland no es un problema de un solo CVE. El atacante cambió los programas confiables después de ingresar, por lo que la solución es la verificación, no la aplicación de parches, y la limpieza es delicada: un reemplazo incorrecto puede bloquear a los administradores de un sistema activo.
- Mira los archivos de inicio de sesión. Supervise los programas PAM y OpenSSH y sus archivos clave para detectar cualquier cambio y avise cuando cambien.
- Caza comprobando qué cambióno esperando una alerta. Compare estos programas con copias en buen estado, porque nada los marcará por usted.
- Retire la puerta trasera antes de restablecer las contraseñaso los nuevos los roban de la misma manera. Pruebe cualquier reemplazo en un laboratorio primero.
Los casos anteriores de F5 y Cisco tienen sus propias comprobaciones: aplique el parche CVE-2024-20399 en el equipo Cisco Nexus y observe las casillas F5 para detectar conexiones salientes inesperadas.
La lección más amplia es clara: la infraestructura que se encuentra fuera del monitoreo normal todavía necesita controles de integridad, y eso ahora incluye la capa de inicio de sesión.
