中国のハッカー集団、認証フローを乗っ取り10年にわたって隔離ネットワークを監視

中国のハッカー集団が標的組織の認証スタックを掌握し、管理者の活動を完全に把握しながら10年間にわたって潜伏し続けていたことが明らかになりました。

「オペレーション・ハイランド」と名付けられたこの侵入活動は、サイバースパイ脅威グループ「Velvet Ant」によるものと見られています。同グループは脆弱なインターネット接続サーバーを足がかりに、外部から直接アクセスできないネットワークへの侵入に成功しました。

「Velvet Ant」と呼ばれる中国系ハッカー集団が、大規模組織の隔離された重要インフラネットワークへ侵入し、10年間にわたってサイバースパイ活動を展開していました。

このキャンペーンは、発見したSygniaの研究者らが「オペレーション・ハイランド」と命名したもので、2016年に開始されました。攻撃者はまずインターネットに接続された脆弱なシステムを標的とし、その後インターネットに直接接続されていない「エアギャップ」環境へと侵入を拡大しました。

Velvet Antによる長期スパイ活動は2024年に初めて記録されており、当時Sygniaはネットワーク機器を標的としたキャンペーンについて警告を発していました。このキャンペーンではF5 BIG-IPデバイスを標的にした攻撃が3年間にわたって検出されずに継続していました。

同じく2024年には、CiscoがNexusスイッチで動作するNX-OSのゼロデイ脆弱性について警告を発し、この脆弱性がVelvet Antによって悪用されていたことが判明しました。

Velvet Antの攻撃チェーン

攻撃はインターネットに接続されたサーバーの侵害から始まりましたが、研究者らは使用された具体的な製品や脆弱性については言及していません。

Velvet Antは正規のシステムコンポーネントに偽装した改造版GS-Netcatリバースシェルを展開しました。このシェルはハードコードされたリレードメインに接続し、暗号化されたリモートシェルアクセスを提供するものでした。

永続化の手法としては、悪意のあるsystemdサービスの作成またはスタートアップスクリプトの改ざんが使用されました。

次に、Velvet AntはネットワークトラフィックのトンネリングにカスタムSOCKS5プロキシをインストールしました。これにより、インターネットから直接アクセスできない内部システムへの到達が可能になりました。

このプロキシは「smbd -D」を装ったデーモンとして動作し、ホストごとに異なるファイル名とポートを使用することで、侵害済みサーバーを内部への踏み台として機能させていました。

この攻撃でとりわけ注目すべきは、隔離ネットワークへのリモート実行経路を構築した点です。

これを実現するため、Velvet Antは侵害したインターネット接続Nginxサーバーの設定を改ざんし、細工されたリクエストを侵害済みのバックエンドサーバーへプロキシするよう変更しました。

さらにバックエンドサーバーのNginx設定も変更され、リクエストが別ポートでリッスンしているFastCGIプロセス（fcgiwrap）に転送されるようになりました。

このFastCGIラッパーが実行ブリッジとして機能し、リクエストを処理して「uptime」という名前のカスタムバイナリを起動していました。

このツールは、HTTP POSTリクエストで提供されるパラメータを使用して、隔離された重要インフラネットワーク内のシステムへSSH接続を確立しました。

「これらの変更を連鎖させることで、Velvet Antは単純なHTTPリクエストを通じて隔離環境へのリモート実行経路を確立しました。重要インフラネットワークへの直接接続は一切不要でした」―Sygnia

隔離環境へのアクセスを確立した後、Velvet Antは長期的な永続化と認証情報の窃取に焦点を移しました。具体的には、管理者がユーザー認証方式を設定するためのライブラリ群であるLinux PAM（Pluggable Authentication Modules）を標的にしました。

攻撃者は正規の「pam_unix.so」モジュールをバックドア版に置き換えました。このバックドア版はハードコードされたパスワードを受け付け、ユーザーの認証情報を収集するものでした。

Sygniaは悪意のあるPAMモジュールの9つの異なるバリアントを特定しており、それぞれが個別のビルド環境でコンパイルされていました。これは潤沢なリソースを持つ脅威アクターの存在を示しています。

研究者らによると、悪意のあるPAMモジュールのうち2つが特に際立っており、一方はバックドア専用、もう一方は認証情報収集に特化していたとのことです。

Velvet AntのアクターはさらにOpenSSHコンポーネント（ssh、sshd、scpなど）をトロイの木馬化したバージョンに置き換えました。これらの改ざん版は認証情報を窃取し、SSHセッション中に入力されたコマンドを記録して、収集したデータを後で取得できるようローカルに保存していました。

Sygniaによると、PAMとOpenSSHコンポーネントを改ざんして認証プロセスを掌握したことで、脅威アクターは標的環境で使用された認証情報をリアルタイムで入手し、認証フローをバイパスできる状態になっていたといいます。

「管理者の活動はすべて監視可能な状態になっていました。侵害されたホスト全体で行われた、あらゆるログイン、あらゆるコマンド実行が記録されていたのです。アクセスはもはや特定の足がかりに依存するものではなく、認証プロセス自体に組み込まれていました」と研究者らは説明しています。

こうした手法により、ハッカーたちはパスワード変更やセッション切断が行われても永続的なアクセスを維持し、「従来の封じ込め対策の有効性を低下させる」ことに成功していました。

困難を極めたクリーンアップ作業

Sygniaによると、侵害が発覚した後も、侵害環境からVelvet Antを排除する修復作業は特に複雑なものになったといいます。

脅威アクターがあまりにも多くの重要コンポーネントをカスタム版に置き換えていたため、それらを単純に削除すると認証が機能しなくなり、正規の管理者がロックアウトされ、業務停止が発生する可能性がありました。

この問題に対処するため、研究者らはテスト用ラボを構築してバイナリ置換プロセスを検証し、各ホストをプロファイリングして結果をテストした上で、クリーンアップ実施前にロールバック手順を準備しました。

Sygniaは防御担当者に対し、PAM、OpenSSH、Windows LSASSなどの認証コンポーネントを重要なセキュリティ資産として扱い、EDR、ファイル整合性監視、強化された特権アクセス管理、多要素認証（MFA）、および不正改ざんに対する継続的なモニタリングで保護するよう推奨しています。

組織はオフラインリカバリの計画を策定する必要があります。これには、不変コピーを含むスナップショットを自動作成する適切なスケジュールによる厳格なバックアップ管理が含まれます。

復旧プロセスでは、バックアップのテストと、検証済みのオペレーティングシステムおよびリカバリスクリプトを使用したリカバリホストの動作確認も考慮する必要があります。