Tin tặc liên quan đến Trung Quốc cài Backdoor vào phần mềm đăng nhập Linux để ẩn mình suốt gần một thập kỷ

Thay vì ẩn nấp trên máy tính xách tay và máy chủ mà các đội ngũ phòng thủ giám sát chặt chẽ nhất, một nhóm tin tặc có liên kết với Trung Quốc đã dành gần một thập kỷ lẩn trốn ngay trong hệ thống đăng nhập của Linux. Sygnia, đơn vị theo dõi nhóm này với tên gọi Velvet Ant, cho biết chúng đã cài cắm backdoor vào các thành phần PAM và OpenSSH - vốn là những thành phần quyết định ai được phép đăng nhập, từ đó đặt quyền truy cập vào những nơi mà các phương pháp dọn dẹp thông thường không thể tiếp cận.
Linux Login Backdoor

Thay vì ẩn náu trên các máy tính xách tay và máy chủ mà các đội ngũ phòng thủ giám sát chặt chẽ nhất, một nhóm tin tặc có liên kết với Trung Quốc đã dành gần một thập kỷ lẩn trốn ngay bên trong hệ thống đăng nhập của Linux.

Sygnia, đơn vị theo dõi nhóm này dưới tên gọi Velvet Ant, cho biết chúng đã cài cắm backdoor vào các thành phần PAM và OpenSSH — những bộ phận quyết định ai được phép đăng nhập. Bằng cách này, kẻ tấn công đã đặt quyền truy cập của mình ở những nơi mà các phương pháp dọn dẹp thông thường không thể chạm tới. Mạng lưới mà chúng nhắm tới không có quyền truy cập internet trực tiếp, vì vậy nhóm này đã sử dụng các hệ thống đối mặt với internet làm bàn đạp để xâm nhập.

Những dấu vết sớm nhất được tìm thấy từ năm 2016. Thay vì thả các phần mềm độc hại (malware) mới vốn có thể bị các chương trình quét phát hiện, kẻ tấn công đã thay đổi chính các chương trình đăng nhập đáng tin cậy. Không có gì bất thường xuất hiện và không cần đến exploit, vì vậy mọi hoạt động trông giống như quản trị hệ thống bình thường.

Trên nhiều máy chủ, kẻ tấn công đã thay thế module đăng nhập PAM chính bằng các bản sao có chứa backdoor. Một số bản cho phép chúng đăng nhập bằng mật khẩu bí mật; số khác âm thầm ghi lại tên người dùng và mật khẩu thực khi mọi người đăng nhập.

Chiến thuật sửa đổi các thành phần tin cậy

Các nhà nghiên cứu đã tìm thấy chín phiên bản riêng biệt. Các chương trình OpenSSH cũng bị sửa đổi theo cách tương tự, ghi nhật ký thông tin xác thực và mọi câu lệnh được nhập, kèm theo một công tắc ẩn để tắt tính năng ghi nhật ký đó khi cần thiết.

Để tiếp cận được mạng lưới biệt lập là cả một nỗ lực lớn. Kẻ tấn công đã sử dụng các công cụ ngụy trang khác và một máy chủ web đối mặt với internet làm cầu nối, truyền các câu lệnh qua đó để mở các phiên làm việc từ xa (remote sessions) sâu bên trong phân vùng mạng không có kết nối internet trực tiếp.

Vì chính hệ thống đăng nhập đã bị xâm phạm, các biện pháp ngăn chặn thông thường hầu như không có tác dụng. Việc đặt lại mật khẩu và ngắt các phiên làm việc đều vô ích khi chính thứ kiểm tra các thông tin xác thực đó lại đang làm việc cho kẻ tấn công.

Cơ chế đăng nhập bị xâm nhập
Minh họa cơ chế đăng nhập bị thay đổi bởi kẻ tấn công

Đây không phải là điều mới mẻ đối với nhóm này. Mỗi khi lực lượng phòng thủ tìm thấy một điểm yếu, Velvet Ant lại di chuyển sang các thiết bị ít bị giám sát hơn và thiết lập tại đó. Trong một vụ việc vào năm 2024, Sygnia đã phát hiện tác nhân này biến các thiết bị F5 BIG-IP công khai trên internet thành các máy chủ điều khiển nội bộ.

Cuối năm đó, có báo cáo về việc nhóm này khai thác một lỗ hổng trong Cisco NX-OS, CVE-2024-20399, để cài đặt backdoor trên các thiết bị chuyển mạch (switches). Lỗ hổng này yêu cầu quyền quản trị trước, vì vậy nó là một công cụ để duy trì sự hiện diện (persistence) chứ không phải để xâm nhập từ xa. Cisco đã vá lỗi này vào tháng 7 năm 2024 và CISA đã đánh dấu nó là lỗ hổng bị khai thác ngay ngày hôm sau.

Operation Highland: Đi sâu vào hạ tầng

Operation Highland cũng dựa trên ý tưởng tương tự nhưng ở một cấp độ sâu hơn. Các bộ cân bằng tải (load balancers), thiết bị chuyển mạch và chính phần mềm đăng nhập là những thứ được tin cậy mặc định và hiếm khi được kiểm tra, đó chính là lý do tại sao một kẻ tấn công kiên nhẫn lại chọn ẩn mình bên trong chúng.

Operation Highland không phải là vấn đề của một lỗ hổng CVE đơn lẻ. Kẻ tấn công đã thay đổi các chương trình tin cậy sau khi xâm nhập, vì vậy giải pháp là xác minh tính toàn vẹn chứ không phải chỉ cài đặt bản vá. Quá trình dọn dẹp cũng rất nhạy cảm: một sự thay thế sai lầm có thể khóa quyền truy cập của quản trị viên vào hệ thống đang hoạt động.

Các khuyến nghị phòng thủ

  • Giám sát các tệp tin đăng nhập: Theo dõi các chương trình PAM, OpenSSH và các tệp khóa (key files) của chúng để phát hiện bất kỳ thay đổi nào và đưa ra cảnh báo ngay lập tức.
  • Săn tìm bằng cách kiểm tra sự thay đổi: Đừng đợi cảnh báo, hãy chủ động so sánh các chương trình này với các bản sao an toàn đã biết, vì sẽ không có công cụ nào tự động gắn cờ chúng cho bạn.
  • Gỡ bỏ backdoor trước khi đặt lại mật khẩu: Nếu không, mật khẩu mới sẽ tiếp tục bị đánh cắp theo cùng một cách. Hãy kiểm tra kỹ mọi thay thế trong môi trường lab trước khi thực hiện trên hệ thống thực.

Các trường hợp liên quan đến F5 và Cisco trước đó cũng có các bước kiểm tra riêng: vá CVE-2024-20399 trên thiết bị Cisco Nexus và giám sát các thiết bị F5 để phát hiện các kết nối ra ngoài bất thường.

Bài học lớn hơn rất rõ ràng: các cơ sở hạ tầng nằm ngoài phạm vi giám sát thông thường vẫn cần được kiểm tra tính toàn vẹn, và điều đó hiện bao gồm cả lớp đăng nhập.