Az első behatolás: internetes szerverektől a légmentesen elzárt rendszerekig
A támadás kiindulópontja az internetre nyitott, sebezhető szerverek átvétele volt. Ezeken a Velvet Ant álcázott, módosított GS-Netcat visszacsatlakozó (reverse) shellet helyezett el, amely egy előre definiált relay domainhez kapcsolódott, AES-titkosítással biztosítva a távoli elérést. Külön figyelmet érdemel, hogy a rendszerindítási szkriptek vagy ártalmas systemd-szolgáltatások segítségével folyamatos jelenlétet biztosítottak maguknak.
A következő lépésben saját fejlesztésű SOCKS5 proxy dolgozott a belső forgalom csatornázására, így a már feltört szerverek újabb, belső támadási pontokká váltak. Az eszközök háttérfolyamatként (démonként) futottak, soha nem ugyanazzal a névvel vagy porttal, hogy elkerüljék a lelepleződést.
A légmentesen elzárt hálózat áttörése
Az igazi bravúr az átjárási útvonal létrehozása volt a külső, kompromittált Nginx webszerveren keresztül. Ennek konfigurációját úgy módosították, hogy a speciális kérések továbbmenjenek egy szintén feltört belső szerverre, amely FastCGI-n (fcgiwrap) keresztül már egyedi binárisokat (pl. uptime) indított. Ennek köszönhetően egyszerű HTTP POST-kéréssel lehetett SSH-kapcsolatot létesíteni a kritikus infrastruktúra gépeivel. Így közvetlen kapcsolat nélkül, teljes rejtettségben nyitották meg a legzártabb hálózatrészeket is.
Az autentikáció teljes átvétele
A Velvet Ant hosszú távú jelenlétét a Linux Pluggable Authentication Modules (PAM) és az OpenSSH elemek cseréjével érte el. A legitim pam_unix.so modulok helyett saját, hátsó kaput is tartalmazó verziókat használtak, amelyek beépített jelszavakat is elfogadtak, és felhasználói hitelesítő adatokat gyűjtöttek. Kilenc különféle változatot azonosítottak ezekből; minden ismertté vált verziót más fordítóval állítottak elő.
Cserélték az ssh, sshd, scp komponenseket is; ezek nem csupán hitelesítő adatokat gyűjtöttek, hanem minden SSH-parancsot naplóztak. Így a támadók még jelszócsere és a munkafolyamatok lezárása után is visszajuthattak: az azonosítási folyamatot saját igényeik szerint alakították.
A kiűzés nehézségei
Nem zárható ki, hogy egy ilyen átfogó kompromittálás után a helyreállítás szinte lehetetlen. A támadók annyi rendszerkomponenst cseréltek egyedi, manipulált verziókra, hogy az eltávolításuk közvetlenül leállásokat és adminisztrátori kizárásokat eredményezhetett volna. Ezért külön laboratóriumi környezetet hoztak létre, minden gépet külön profilozva teszteltek, és csak kipróbált, visszagörgethető eljárásokat használtak a takarításhoz.
Feladatok a védekezésben
A biztonsági szakemberek hangsúlyozzák, hogy a hitelesítési rendszerek – Linux PAM, OpenSSH, Windows LSASS – kiemelt védelmet, EDR-t, fájlintegritás-figyelést, kétfaktoros hitelesítést és folyamatos ellenőrzést igényelnek, különösen az illetéktelen módosítások felderítésekor. Hosszú távú megoldást csak a rendszeres, lekapcsolt biztonsági mentések, a megbízható operációs rendszerről visszaállított példányok és az előzetesen tesztelt vészforgatókönyvek hoznak.
