Hackers chinos espiaron durante una década en una red corporativa cerrada y nadie se enteró
La historia de hackers que reescribieron las reglas de acceso a sistemas ajenos.
Incluso una red aislada no garantiza la seguridad si los atacantes están dispuestos a pasar años buscando vías de elusión. Los especialistas de Sygnia publicaron detalles de la operación Highland, en la que el grupo Velvet Ant, vinculado con China, permaneció casi diez años sin ser detectado dentro de la red interna de una gran organización.
Según Sygnia, las primeras huellas de actividad de Velvet Ant en ese entorno se remontan a 2016. La particularidad del ataque fue que la red objetivo no tenía salida directa a Internet. Los atacantes primero se establecieron en servidores expuestos desde el exterior, luego avanzaron a través de la red corporativa habitual y alcanzaron el segmento de infraestructura crítica.
Para obtener acceso inicial, Velvet Ant utilizó una versión modificada de GS-Netcat que creaba una shell de comandos inversa oculta. El archivo se camuflaba como la utilidad del sistema auditdb y se alojaba en el directorio /usr/sbin/. En distintos servidores el grupo se establecía de formas diferentes: mediante servicios systemd o mediante antiguos scripts de inicio SysVinit.
Paralelamente los atacantes desplegaron un proxy SOCKS5 en Perl para redirigir el tráfico de red de forma encubierta y avanzar por la infraestructura. Los procesos se camuflaban como servicios legítimos del sistema, y los nombres de archivos, puertos y procesos variaban de un nodo a otro, lo que dificultaba rastrear el esquema general del ataque.
El golpe principal no fue contra servidores aislados, sino contra el mecanismo de acceso al sistema. Velvet Ant reemplazó módulos PAM y componentes OpenSSH por versiones maliciosas. Tales modificaciones permitían evadir la comprobación habitual de contraseñas, interceptar credenciales y registrar los comandos de los administradores.
Los especialistas hallaron nueve variantes del pam_unix.so modificado. Parte de los módulos aceptaba una contraseña incorporada para un acceso oculto, y otros además guardaban los nombres de usuario y las contraseñas en un archivo oculto. Cada variante se compilaba en un entorno separado, lo que indica una operación bien preparada y planificada de antemano.
Los archivos ssh, sshd y scp modificados también obtuvieron funcionalidades maliciosas. Registraban contraseñas, capturaban los comandos en la shell, ocultaban rastros de actividad e incluso podían desactivar SELinux al ejecutarse con privilegios root. En una de las variantes de ssh se añadió una opción especial que permitía a los propios atacantes desactivar el registro de sus acciones.
Velvet Ant también agregó sus claves públicas al archivo authorized_keys en los servidores comprometidos. Este método proporcionaba acceso persistente sin contraseña y funcionaba independientemente de los archivos del sistema modificados.
Eliminar las consecuencias del ataque resultó especialmente difícil. Los atacantes se integraron en esos mismos componentes mediante los cuales los administradores acceden a los servidores. Un error al reemplazar PAM u OpenSSH podía simplemente bloquear el acceso a sistemas críticos y provocar interrupciones.
Al equipo de respuesta le tocó primero verificar cómo se restauraban los sistemas en un entorno de laboratorio, luego seleccionar las versiones correctas de los componentes para distintos sistemas y solo después desplegar las correcciones en la red aislada. Tras cada paso, los especialistas comprobaban que el acceso por SSH y la autenticación habitual seguían funcionando.
Sygnia considera Operation Highland un ejemplo de cómo un grupo sigiloso puede vivir durante años dentro de una infraestructura sin malware ruidoso ni alertas llamativas. Velvet Ant no solo se afianzó en nodos aislados, sino que obtuvo el control del propio proceso de acceso a los sistemas. Ese nivel de compromiso exige no solo limpiar el sistema, sino revisar por completo la confianza en los mecanismos básicos de administración.