Peretas Tiongkok mengambil alih tumpukan autentikasi organisasi target dan mempertahankan kegigihannya selama 10 tahun, dengan visibilitas penuh ke dalam aktivitas administratif.
Dijuluki “Operation Highland”, intrusi ini dikaitkan dengan kelompok ancaman spionase dunia maya Velvet Ant, yang menargetkan sistem rentan yang terhubung ke internet sebelum beralih ke jaringan tanpa jalur eksternal langsung.
Peretas Tiongkok dari kelompok aktivitas “Velvet Ant” menerobos jaringan infrastruktur penting yang terisolasi dari sebuah organisasi besar dan melakukan operasi spionase dunia maya selama 10 tahun.
Kampanye tersebut, yang dijuluki “Operation Highland” oleh peneliti Sygnia yang menemukannya, dimulai pada tahun 2016, menargetkan sistem rentan yang terhubung ke internet sebelum beralih ke lingkungan “celah udara” tanpa koneksi internet langsung.
Operasi spionase panjang Velvet Ant didokumentasikan pada tahun 2024, ketika Sygnia memperingatkan akan adanya kampanye menargetkan perangkat F5 BIG-IP yang beroperasi tanpa terdeteksi selama tiga tahun.
Juga pada tahun 2024, Cisco memperingatkan dari zero-day di NX-OS yang berjalan pada switch Nexus, yang dimanfaatkan oleh Velvet Ant untuk mendapatkan akses ke target.
Rantai serangan Semut Beludru
Serangan dimulai dengan penyusupan pada server yang terhubung ke internet, meskipun para peneliti tidak menyebutkan produk spesifik atau kerentanan apa pun yang digunakan.
Velvet Ant menerapkan shell terbalik GS-Netcat yang dimodifikasi dan menyamar sebagai komponen sistem sah yang terhubung ke domain relai berkode keras, menyediakan akses shell jarak jauh terenkripsi.
Shell mencapai persistensi baik melalui layanan systemd yang berbahaya atau melalui modifikasi skrip startup.
Sumber: Sygnia
Berikutnya, Velvet Ant memasang proksi SOCKS5 khusus untuk penerowongan lalu lintas jaringan, sehingga memungkinkannya menjangkau sistem internal yang tidak dapat diakses langsung dari internet.
Proksi dijalankan sebagai daemon yang menyamar sebagai ‘smbd -D’, menggunakan nama file dan port berbeda pada setiap host, dan mengubah server yang disusupi menjadi titik pivot internal.
Sumber: Sygnia
Bagian paling menarik dari serangan ini adalah membangun jalur eksekusi jarak jauh ke dalam jaringan yang terisolasi.
Untuk mencapai hal ini, Velvet Ant memodifikasi konfigurasi server Nginx yang terhubung ke internet untuk mem-proxy permintaan yang dibuat khusus ke server backend yang telah disusupi.
Konfigurasi Nginx server backend juga diubah untuk meneruskan permintaan ke proses FastCGI (fcgiwrap) yang mendengarkan pada port terpisah.
Pembungkus FastCGI bertindak sebagai jembatan eksekusi, memproses permintaan dan meluncurkan biner khusus bernama ‘uptime’.
Alat ini membuat koneksi SSH ke sistem dalam jaringan infrastruktur penting yang terisolasi menggunakan parameter yang disediakan dalam permintaan HTTP POST.
“Dengan merangkai modifikasi ini, Velvet Ant menetapkan jalur eksekusi jarak jauh ke dalam lingkungan terpisah melalui permintaan HTTP sederhana, tanpa memerlukan koneksi langsung ke jaringan infrastruktur penting.” – Sygnia
Setelah menetapkan akses mereka ke lingkungan yang terisolasi, Velvet Ant mengalihkan fokus ke persistensi jangka panjang dan pencurian kredensial dengan menargetkan Linux Pluggable Authentication Modules (PAM), serangkaian perpustakaan yang memungkinkan administrator mengatur metode untuk mengautentikasi pengguna.
Para penyerang mengganti modul ‘pam_unix.so’ yang sah dengan versi backdoor yang menerima kata sandi hardcode dan mengambil kredensial pengguna.
Sygnia mengidentifikasi sembilan varian berbeda dari modul PAM berbahaya, masing-masing dikompilasi dalam lingkungan build terpisah, yang menunjukkan adanya aktor ancaman yang memiliki sumber daya yang baik.
Para peneliti mengatakan bahwa dua modul PAM berbahaya menonjol karena bertindak sebagai pintu belakang saja dan untuk mengumpulkan kredensial.
Aktor Velvet Ant juga mengganti komponen OpenSSH seperti ssh, sshd, dan scp dengan versi trojan yang menangkap kredensial, mencatat perintah yang dimasukkan selama sesi SSH, dan menyimpan data yang dikumpulkan secara lokal untuk pengambilan di masa mendatang.
Sygnia mengatakan bahwa dengan memperluas kontrol ke proses otentikasi dengan memodifikasi komponen PAM dan OpenSSH, pelaku ancaman memiliki akses ke kredensial saat digunakan di lingkungan target dan dapat melewati alur otentikasi.
“Aktivitas administratif menjadi dapat diamati sepenuhnya: setiap login; setiap perintah dijalankan di seluruh host yang disusupi. Akses tidak lagi terikat pada pijakan tertentu tetapi tertanam dalam proses otentikasi itu sendiri,” jelas para peneliti.
Dengan cara ini, para peretas memastikan kegigihan mereka meskipun terjadi perubahan kata sandi dan penghentian sesi, serta mengurangi “efektivitas tindakan pembendungan konvensional.”
Pembersihan yang rumit
Sygnia mengatakan bahkan setelah menemukan kompromi tersebut, memulihkannya dan menghapus Velvet Ant dari lingkungan yang dikompromikan sangatlah rumit.
Pelaku ancaman telah mengganti begitu banyak komponen penting dengan versi khusus sehingga menghapusnya kemungkinan besar akan merusak otentikasi, mengunci administrator yang sah, dan menyebabkan gangguan operasional.
Untuk mengatasi masalah ini, para peneliti membangun laboratorium pengujian untuk memvalidasi proses penggantian biner, membuat profil setiap host, menguji hasilnya, dan menyiapkan prosedur rollback sebelum mencoba melakukan pembersihan.
Sygnia merekomendasikan agar pembela HAM memperlakukan komponen autentikasi seperti PAM, OpenSSH, dan Windows LSASS sebagai aset keamanan penting dan melindunginya dengan EDR, pemantauan integritas file, akses istimewa yang diperkeras, autentikasi multi-faktor (MFA), dan pemantauan berkelanjutan untuk modifikasi yang tidak sah.
Organisasi harus merencanakan pemulihan offline, yang mencakup pencadangan ketat dengan jadwal yang memadai untuk membuat snapshot secara otomatis dengan salinan yang tidak dapat diubah.
Proses restorasi harus mempertimbangkan pengujian host cadangan dan pemulihan yang menjalankan sistem operasi yang telah divalidasi, bersama dengan skrip pemulihan.
Uji setiap lapisan sebelum penyerang melakukannya
Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.
Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.
