Chińsko-powiązana grupa ukrywała backdoory w mechanizmach logowania Linuksa przez niemal dekadę - Security Bez Tabu

Chińsko-powiązana grupa ukrywała backdoory w mechanizmach logowania Linuksa przez niemal dekadę

Cybersecurity news

Wprowadzenie do problemu / definicja

Długotrwała kompromitacja warstwy uwierzytelniania w systemach Linux należy do najbardziej niebezpiecznych i najtrudniejszych do wykrycia form intruzji. Gdy napastnicy modyfikują zaufane komponenty odpowiedzialne za logowanie, takie jak PAM i OpenSSH, mogą utrzymywać trwały dostęp do środowiska, przechwytywać poświadczenia oraz ukrywać aktywność pod pozorem zwykłych operacji administracyjnych.

Według najnowszych ustaleń badaczy taki właśnie model działania miała wykorzystywać grupa Velvet Ant, powiązana z Chinami. Operacja miała pozwalać na wieloletnią obecność w sieci ofiary, także w segmentach odseparowanych od internetu.

W skrócie

  • Grupa Velvet Ant miała utrzymywać ukrytą obecność w środowisku ofiary od 2016 roku.
  • Napastnicy podmieniali legalne komponenty PAM i OpenSSH na trojanizowane wersje z funkcjami backdoora.
  • Złośliwe moduły umożliwiały logowanie ukrytym hasłem, kradzież prawdziwych danych uwierzytelniających oraz rejestrowanie poleceń.
  • Atak obejmował także sieci wewnętrzne bez bezpośredniego dostępu do internetu.
  • Kluczowym problemem nie była pojedyncza podatność, lecz naruszenie integralności zaufanych plików systemowych.

Kontekst / historia

Opisana kampania wpisuje się w szerszy schemat działań przypisywanych Velvet Ant. Grupa była wcześniej łączona z długotrwałymi operacjami ukierunkowanymi na infrastrukturę, która często pozostaje poza standardowym zakresem monitoringu EDR i codziennej telemetrii bezpieczeństwa. W poprzednich analizach wskazywano, że atakujący wykorzystywali urządzenia sieciowe i systemy pośredniczące jako punkty przekaźnikowe oraz wewnętrzne kanały dowodzenia.

W tym przypadku ciężar operacji przesunięto jeszcze głębiej, bezpośrednio do warstwy logowania systemów Linux. To wybór strategiczny, ponieważ komponenty uwierzytelniania cieszą się wysokim poziomem zaufania, rzadko są poddawane ręcznej analizie binarnej i po modyfikacji nie muszą powodować widocznych zakłóceń pracy systemu.

Analiza techniczna

Rdzeniem operacji było zastępowanie oryginalnych modułów PAM i składników OpenSSH zmodyfikowanymi odpowiednikami zawierającymi ukryte funkcje dostępu. Taki implant działa na poziomie, na którym system podejmuje decyzję o dopuszczeniu użytkownika do zasobu, co czyni go wyjątkowo skutecznym i trudnym do wykrycia.

W praktyce złośliwe komponenty mogły realizować kilka zadań jednocześnie: akceptować specjalne tajne hasło niezależnie od standardowego procesu logowania, przechwytywać poprawne nazwy użytkowników i hasła podczas legalnych sesji, rejestrować polecenia wykonywane po zalogowaniu, a także ograniczać widoczność działań przeciwnika.

Badacze wskazali na obecność wielu wariantów zmodyfikowanych komponentów, co sugeruje stopniowy rozwój zestawu narzędzi i dostosowywanie implantów do różnych systemów oraz etapów operacji. To nie wygląda na jednorazowe wdrożenie prostego backdoora, lecz na dojrzały mechanizm utrzymywania dostępu i zbierania danych.

Istotny jest również sposób poruszania się napastników w głąb środowiska. Według opisu wykorzystywali oni wcześniej przejęte systemy brzegowe jako pomost do segmentów wewnętrznych, w tym do sieci bez bezpośredniej ekspozycji na internet. Oznacza to, że sama izolacja sieciowa nie stanowi wystarczającej ochrony, jeśli przeciwnik przejmie hosty pośredniczące.

Najważniejsza techniczna lekcja z tego incydentu jest jasna: nie chodzi wyłącznie o lukę bezpieczeństwa, którą można usunąć zwykłą aktualizacją. Problemem jest trwała modyfikacja zaufanych bibliotek i plików wykonywalnych. Jeśli takie komponenty pozostaną w systemie, samo patchowanie nie rozwiąże problemu.

Konsekwencje / ryzyko

Kompromitacja PAM i OpenSSH niesie wyjątkowo wysokie ryzyko dla organizacji. Przede wszystkim umożliwia przechwytywanie poświadczeń uprzywilejowanych użytkowników bez konieczności stosowania głośnych technik eksfiltracji. Dodatkowo obecność backdoora w warstwie logowania osłabia skuteczność typowych działań reagowania, takich jak reset haseł, wymuszanie nowych poświadczeń czy zamykanie aktywnych sesji.

Problem ma także wymiar operacyjny. Nieostrożna wymiana modułów PAM lub składników OpenSSH podczas incydentu może doprowadzić do utraty zdalnego dostępu administracyjnego do krytycznych systemów. Dlatego remediacja powinna być prowadzona z planem awaryjnym, dostępem konsolowym lub out-of-band oraz przygotowanymi, zweryfikowanymi pakietami referencyjnymi.

Z perspektywy obrony największym wyzwaniem pozostaje niski poziom widoczności. Wiele organizacji monitoruje logi, procesy i ruch sieciowy, ale nie prowadzi regularnej kontroli integralności plików binarnych odpowiadających za uwierzytelnianie. To właśnie tę lukę zaawansowany przeciwnik może wykorzystywać przez lata.

Rekomendacje

Organizacje korzystające z Linuksa powinny rozszerzyć monitoring bezpieczeństwa o integralność warstwy logowania i krytycznych komponentów dostępowych. W praktyce warto wdrożyć następujące działania:

  • monitorować integralność plików PAM, bibliotek powiązanych oraz binariów OpenSSH,
  • porównywać krytyczne komponenty z referencyjnymi, zaufanymi kopiami pochodzącymi z bezpiecznych repozytoriów lub obrazów systemowych,
  • rozszerzyć procedury threat hunting o analizę zmian w plikach odpowiedzialnych za logowanie,
  • w przypadku podejrzenia kompromitacji najpierw usunąć zmodyfikowane komponenty, a dopiero potem resetować hasła i klucze dostępowe,
  • testować procedury odtworzenia PAM i OpenSSH w środowisku laboratoryjnym przed wdrożeniem na produkcji,
  • zapewnić awaryjny kanał administracyjny, taki jak dostęp konsolowy lub out-of-band management,
  • kontrolować systemy brzegowe i pośredniczące, które mogą służyć jako most do środowisk izolowanych,
  • utrzymywać aktualność poprawek oraz regularnie przeglądać konfiguracje urządzeń o wysokim poziomie zaufania.

Podsumowanie

Opisana kampania pokazuje, że nowoczesne operacje APT coraz częściej koncentrują się nie na pojedynczych procesach malware, lecz na zaufanych mechanizmach systemowych. Modyfikacja warstwy logowania w Linuksie daje napastnikom trwałość, skrytość i możliwość przechwytywania poświadczeń przez długi czas.

Dla zespołów bezpieczeństwa oznacza to konieczność zmiany podejścia. Ochrona systemów Linux nie może kończyć się na łataniu podatności i analizie logów. Równie ważna jest systematyczna weryfikacja integralności komponentów zaufanych, zwłaszcza tych, które odpowiadają za uwierzytelnianie i dostęp administracyjny.

Źródła

  1. https://thehackernews.com/2026/06/china-linked-hackers-backdoored-linux.html
  2. https://www.sygnia.co/blog/china-nexus-threat-group-velvet-ant/
  3. https://attack.mitre.org/groups/G1047/
  4. https://www.cisco.com/c/en/us/support/docs/csa/cisco-sa-nxos-cmd-injection-xD9OhyOP.html
  5. https://nvd.nist.gov/vuln/detail/CVE-2024-20399