Analiza completă a Operațiunii Highland: persistență, stealth și compromiterea autentificării.
Unul dintre cele mai sofisticate atacuri cibernetice din ultimii ani a fost dezvăluit recent: Velvet Ant, un actor de amenințare cu nexus China, a reușit să infiltreze și să mențină acces timp de aproape 10 ani într-o rețea internă complet izolată de internet. Investigația, numită Operațiunea Highland, arată cât de mult a evoluat spionajul cibernetic și cât de vulnerabile pot fi chiar și infrastructurile considerate „impenetrabile”.
Un atac început în 2016 și descoperit abia acum
Conform analizei, compromiterea inițială a avut loc în jurul anului 2016, iar atacatorii au reușit să rămână invizibili aproape un deceniu. Ținta era o rețea critică, fără acces direct la internet, ceea ce în mod normal ar limita drastic posibilitățile de intruziune.
Velvet Ant a construit însă un lanț de acces în mai multe etape, pivotând din rețeaua IT obișnuită către infrastructura izolată, folosind tehnici rareori întâlnite în atacuri comerciale.
Cum au intrat în rețea: un lanț de acces în trei etape
1. Compromiterea sistemelor expuse la internet
Atacatorii au folosit un GS‑Netcat modificat, mascat ca proces de kernel, pentru a obține acces stealth. Persistența era asigurată prin systemd sau SysVinit, în funcție de distribuția Linux.
Au implementat și un proxy SOCKS5 personalizat, ascuns sub numele smbd -D, pentru a facilita mișcarea laterală.
2. Pivotare către rețeaua izolată
Velvet Ant a exploatat un lanț neobișnuit: Nginx → backend Nginx → FastCGI → execuție binară, permițând executarea de comenzi în rețeaua segregată doar prin request-uri HTTP aparent legitime.
3. Preluarea controlului asupra autentificării
Aici atacul devine cu adevărat excepțional.
PAM modificat
Atacatorii au înlocuit pam_unix.so cu versiuni compilate manual, care:
- acceptau parole
- capturau acreditări
- scriau date în fișiere ascunse
Au fost găsite 9 variante diferite, semn al unei operațiuni bine finanțate.
OpenSSH compromis
Versiuni modificate de ssh, sshd și scp permiteau:
- furt de credențiale
- keylogging complet
- ascunderea sesiunilor atacatorilor
backdoor - timestomping pentru a șterge urmele
În plus, atacatorii și-au adăugat propriile chei în authorized_keys, asigurând acces permanent.
De ce a fost atât de greu de eliminat atacul
Remedierea a fost extrem de delicată. PAM și OpenSSH sunt componente critice: o singură greșeală poate bloca accesul administratorilor la sistem.
Fiecare host a necesitat:
- analiză individuală
- reconstruirea pachetelor originale
- testare în laborator
- implementare controlată cu plan de rollback
Operațiunea de curățare a fost la fel de complexă ca atacul în sine.
Ce înseamnă Operațiunea Highland pentru securitatea cibernetică
Acest caz arată clar că:
- rețelele izolate nu sunt automat sigure
- actorii statali pot menține acces ani întregi fără a fi detectați
- stratul de autentificare (PAM, OpenSSH, LSASS) trebuie tratat ca infrastructură critică
- EDR și monitorizarea integrității fișierelor sunt obligatorii, chiar și în medii offline
Velvet Ant demonstrează o evoluție continuă: de la servere Windows vechi, la echipamente F5, Cisco NX‑OS și acum la compromiterea mecanismelor de autentificare.
Concluzie
Operațiunea Highland nu este doar un incident izolat, ci un semnal de alarmă pentru toate organizațiile care se bazează pe rețele izolate sau sisteme „air‑gapped”. Atacatorii avansați pot găsi căi neașteptate de intrare, iar compromiterea stratului de autentificare le oferă control total, invizibil și de lungă durată.
