Kínai hackerek közel 10 éven át leskelődtek és nem vettük észre
Képzelje el, hogy valaki kilenc éven át ott bujkál az Ön házában. Napról napra figyeli, mit csinál, mit mond, merre jár – és mindeközben egyetlen egyszer sem veszi észre. Nagyjából ez történt az egyik ismeretlen szervezetnél, ahol egy Kínához köthető hackercsoport 2016-tól egészen a közelmúltig zavartalanul tevékenykedett a legszigorúbban védett hálózaton.
A Sygnia nevű kiberbiztonsági cég vizsgálta ki az esetet, és a feltárt módszer már önmagában is elképesztő. A Velvet Ant névre keresztelt hackercsoport nem egyszerűen egy gyenge pontot keresett a rendszeren, hanem sokkal ravaszabb utat választott: kicserélte azt a szoftverkomponenst, amely a felhasználói bejelentkezéseket kezeli.
Minden Linux-alapú számítógépen létezik egy apró, de rendkívül fontos program, amelynek egyetlen feladata van: ellenőrizni, hogy a begépelt jelszó helyes-e. A hackerek ezt a programot cserélték le egy általuk módosított, „megmérgezett" változatra. Az új verzió kinézetre és működésre tökéletesen utánozta az eredetit – azzal a különbséggel, hogy közben minden begépelt jelszót titokban elmentett egy rejtett fájlba, és a támadók számára is megnyitotta az ajtót bárki nevében. Sőt, a rendszer annyira kifinomult volt, hogy a betáplált hátsó ajtó jelszava bejelentkezés után azonnal törlődött a memóriából, hogy még egy esetleges vizsgálat se találja meg. A kutatók kilenc különböző változatát találták meg ennek a manipulált szoftvernek, mindegyiket külön-külön, eltérő fejlesztői környezetben lefordítva és összeállítva. Ez nem egy kapkodó, amatőr akció volt – ez egy jól finanszírozott, gondosan megtervezett, hosszú távú kémkedési művelet ismérveit mutatja.
A dolog igazi ravaszsága abban rejlik, hogy a kiberbiztonsági szakemberek általában pontosan ezeket a bejelentkezési rendszereket figyelik a gyanús tevékenységek után kutatva. A Velvet Ant erre is gondolt: a módosított szoftver el volt látva egy rejtett kapcsolóval, amely egyetlen parancs kiadásával kikapcsolta a saját naplózását. Vagyis a program dolgozott, adatokat gyűjtött és hátsó ajtókat nyitott – miközben a biztonsági naplókban szinte semmi sem jelent meg. Ha pedig a hackerek maguk léptek be a rendszerbe, azzal a kapcsolóval biztosíthatták, hogy saját belépésükről se maradjon nyom. Ráadásul a manipulált rendszerszoftver a fájlok létrehozási időbélyegét is hamisította: minden általa létrehozott fájl úgy nézett ki, mintha egy régen ott lévő, teljesen ártalmatlan rendszerfájllal egyidőben keletkezett volna. Ez az úgynevezett időbélyeg-hamisítás tovább nehezítette a nyomozók dolgát.
A megcélzott rendszer különösen jól védettnek számított, mivel nem volt közvetlen kapcsolata az internettel – ez olyan, mintha a széfet leköltöztetnénk a pincébe, és elvágnánk minden külső huzalozástól. A hackerek azonban ezt a falat is megkerülték, méghozzá egy több lépcsőből álló, aprólékosan megtervezett úton. Először a szervezet internethez csatlakozó, kevésbé védett szervereit foglalták el. Ide egy nyilvánosan elérhető, titkosított alagútépítő eszközt telepítettek, amelyet átneveztek „auditdb"-re, és egy olyan rendszermappába rejtették, ahol a gép saját eszközei szoktak lakni – így teljesen beleolvadt a környezetbe. A folyamat még tovább is ment: a hackerek egy internetfelőli webkiszolgálón módosították a szoftver beállításait, hogy az oda érkező kéréseket egy hátsó kiszolgálón futó végrehajtó programhoz továbbítsa, amely aztán SSH-kapcsolatot épített ki a kritikus, elszigetelt hálózaton lévő gépek felé. Így egyszerű, ártatlannak látszó webes kérések segítségével tudtak parancsokat kiadni egy olyan rendszerben, amelynek elvileg semmi köze nem volt az internethez.
Az eset különös veszélye, hogy a megszokott védekezési lépések egyszerűen nem működtek. Jelszócsere? A hátsó ajtók attól még nyitva maradtak, és az új jelszó azonnal bekerült a hackerek naplójába. Kilépés a rendszerből? A következő bejelentkezésnél a támadók máris ott voltak. A biztonsági mentésekből való visszaállítás sem volt egyértelmű megoldás, hiszen a fertőzés évek óta jelen volt – ki tudja, melyik mentés volt még tiszta?
A Sygnia figyelmeztet: ha valaki rosszul próbálja eltávolítani a fertőzött szoftvereket, akár saját magát is kizárhatja a rendszeréből. Az általuk alkalmazott megoldás ezért rendkívül körültekintő volt: laboratóriumi körülmények között tesztelték a helyreállítási folyamatot, majd minden érintett gépet egyenként, előre elkészített, ellenőrzött csomagokkal állítottak vissza. A helyes sorrend sem volt elhanyagolható: először ki kell takarítani a hátsó ajtókat, és csak utána szabad jelszót változtatni – különben az új jelszó is azonnal a támadók kezébe kerül.
Ez nem az első eset, hogy a Velvet Ant hasonló kitartásról tesz tanúbizonyságot. A csoport hosszú évek óta folytat kémkedési tevékenységet, és minden egyes alkalommal, amikor lebukott, nem visszavonult, hanem mélyebbre húzódott. Először közönséges munkaállomásokon és szervereken dolgoztak, majd amikor ott felderítették őket, átköltöztek elavult, régi operációs rendszert futtató gépekre, amelyeket a biztonsági szoftverek már nem támogattak. Onnan hálózati eszközökre – speciális forgalomirányítókra és kapcsolókra – mentek át, ahol szintén nehezebb a megfigyelés. Legutóbb egy Cisco hálózati eszközben talált, addig ismeretlen sebezhetőséget aknáztak ki, hogy ott rejtsenek el kártevőt. Most pedig magát a bejelentkezési folyamatot vették irányításuk alá. A minta következetes és aggasztó: mindig oda húzódnak, ahol a legkevesebb a felügyelet, és onnan építik újra a jelenlétüket.
Ez az eset azért is tanulságos, mert a Velvet Ant nem valamilyen látványos, robbanásszerű támadást hajtott végre. Nem volt feltűnő kártevőfájl, nem volt ismeretlen sebezhetőség kihasználása, nem volt szokatlan program egy figyelt mappában. A módosított szoftverek teljesen normálisan viselkedtek a jogszerű felhasználók számára, és semmiféle riasztást nem generáltak. Éppen ezért találta meg a Sygnia csapata a behatolást nem egy automatikus figyelmeztetés, hanem kizárólag aktív, kézi vizsgálat révén – olyan kérdéseket feltéve, amelyeket a biztonsági rendszerek soha nem kaptak meg: megváltozott-e ez a fájl az elvárt állapothoz képest? Indokolt-e ez a hozzáférés? Konzisztens-e ez a viselkedés azzal, ahogy a rendszert egyébként használják? Az eset tágabb összefüggésbe is illeszkedik. Az elmúlt egy évben a technológiai vállalatok ellen irányuló, állami hátterű kibertámadások több mint felét Kínához köthető szereplőknek tulajdonítják – ami jelzi, hogy ez nem csupán egyedi eset, hanem egy jóval nagyobb stratégiai törekvés részét képezi.
A Sygnia vizsgálata alapján a legfontosabb tanulság talán az: a legveszélyesebb behatoló nem az, aki hangosan betöri az ajtót, hanem az, aki csendben kicseréli a zárat – és éveken át ott ül mellettünk, miközben azt hisszük, egyedül vagyunk.
A Sygnia felhívása: amennyiben azt gyanítod, hogy a digitális környezeted érintheti ez a típusú támadás, akkor vedd fel velük a kapcsolatot a contact@sygnia.co e-mail címen, vagy hívd a non-stop forródrótjukat a +1-877-686-8680 telefonszámon.
A kompromitálkás indikátorainak listáját INNEN töltheted le.
FORRÁS: IntelFusions, Sygnia, TechInformed