Em vez de se esconder nos laptops e servidores que os defensores monitoram de perto, um grupo ligado à China passou quase uma década oculto dentro do próprio sistema de login do Linux.
A Sygnia, que rastreia o grupo como Velvet Ant, afirma que ele instalou backdoors nos componentes PAM (Módulos de Autenticação Pluggable) e OpenSSH, que decidem quem pode se autenticar, plantando seu acesso onde a limpeza comum não conseguia alcançar. A rede alvo não tinha acesso direto à internet, então o grupo primeiro usou sistemas voltados à internet como trampolim para chegar até lá.
Os primeiros indícios remontam a 2016. Em vez de distribuir novos malwares que um scanner pudesse detectar, o atacante alterou os próprios programas de login considerados confiáveis. Nada óbvio apareceu, e nenhum exploit era necessário, de modo que a atividade parecia administração normal.
Em muitas máquinas, o atacante substituiu o módulo principal de login do PAM por cópias com backdoor. Algumas permitiam a entrada com uma senha secreta; outras registravam silenciosamente nomes de usuário e senhas reais à medida que as pessoas faziam login.
Pesquisadores encontraram nove versões distintas. Os programas OpenSSH foram alterados da mesma forma, registrando credenciais e cada comando digitado, com um interruptor oculto para desativar esse registro quando necessário.
Chegar à rede isolada exigiu trabalho extra. O atacante utilizou outras ferramentas disfarçadas e um servidor web voltado à internet como ponte, transmitindo comandos por meio dele para abrir sessões remotas no interior do segmento sem acesso direto à internet.
Como o próprio sistema de login estava comprometido, a contenção tradicional teve pouco efeito. Redefinições de senha e sessões encerradas não ajudam quando o componente que verifica essas credenciais trabalha a favor do atacante.
Isso não é novidade para o grupo. Cada vez que os defensores encontram um ponto de entrada, o Velvet Ant migra para equipamentos menos monitorados e se instala ali. Em um caso de 2024, a Sygnia descobriu o mesmo ator convertendo appliances F5 BIG-IP expostos à internet em servidores internos de comando.
Mais tarde naquele ano, a empresa relatou que o grupo explorou uma falha no Cisco NX-OS, a vulnerabilidade CVE-2024-20399 (Vulnerabilidades e Exposições Comuns), para instalar um backdoor nos switches. Essa brecha exige acesso administrativo prévio, funcionando como ferramenta de persistência, e não como invasão remota. A Cisco corrigiu a falha em julho de 2024, e a CISA (Agência de Cibersegurança e Infraestrutura dos EUA) a sinalizou como explorada no dia seguinte.
A Operação Highland parte da mesma ideia, um nível mais adentro. Balanceadores de carga, switches e o próprio software de login são confiáveis por padrão e raramente verificados — exatamente por isso um atacante paciente se esconde dentro deles.
A Operação Highland não se resume a uma única CVE. O atacante alterou programas confiáveis após a invasão, de modo que a solução passa por verificação, não por aplicação de patches, e a limpeza é delicada: uma substituição equivocada pode bloquear o acesso de administradores a um sistema em produção.
Recomendações
- Monitore os arquivos de login. Acompanhe os programas PAM e OpenSSH e seus principais arquivos em busca de alterações, e emita alertas quando houver mudanças.
- Faça buscas ativas verificando o que mudou, em vez de esperar por um alerta. Compare esses programas com cópias conhecidas como íntegras, pois nada irá sinalizá-los para você.
- Remova o backdoor antes de redefinir senhas, ou as novas serão roubadas da mesma forma. Teste qualquer substituição em laboratório antes.
Os casos anteriores com F5 e Cisco têm suas próprias verificações: aplique a correção da CVE-2024-20399 nos equipamentos Cisco Nexus e monitore os dispositivos F5 em busca de conexões de saída inesperadas.
A lição mais ampla é clara: a infraestrutura que fica fora do monitoramento habitual ainda precisa de verificações de integridade, e isso agora inclui a camada de login.
