แฮกเกอร์เชื่อมโยงจีนฝัง backdoor ใน PAM และ OpenSSH ของ L…

การค้นพบการแทรกซึมของ กลุ่มแฮกเกอร์ที่มีความสัมพันธ์กับจีน เข้าไปในระบบการเข้าสู่ระบบของ Linux อย่าง PAM และ OpenSSH ทำให้เครือข่ายหลายแห่งต้องเผชิญกับการเข้าถึงโดยไม่ได้รับอนุญาตเป็นเวลานานเกือบสิบปี การตรวจจับโดยบริษัท Sygnia ที่ติดตามกลุ่มนี้ในฐานะ Velvet Ant แสดงให้เห็นว่าการซ่อนตัวในชั้นพื้นฐานของระบบปฏิบัติการอาจหลีกเลี่ยงการทำความสะอาดและการตรวจสอบแบบดั้งเดิมได้อย่างมีประสิทธิภาพ

Overview

กลุ่ม Velvet Ant ได้ฝัง backdoor ไว้ในส่วนของ PAM (Pluggable Authentication Modules) และ OpenSSH** ซึ่งเป็นส่วนสำคัญที่กำหนดว่าผู้ใช้ใครมีสิทธิ์เข้าสู่ระบบ Linux การแทรกซึมนี้ทำให้แฮกเกอร์สามารถข้ามกระบวนการตรวจสอบตัวตนและรับสิทธิ์ระดับผู้ดูแลระบบได้โดยตรง แม้ว่าผู้ดูแลระบบจะทำการอัปเดตซอฟต์แวร์หรือทำความสะอาดไฟล์ที่สงสัยว่าเป็นอันตรายแล้วก็ตาม

การตรวจพบครั้งแรกเกิดขึ้นเมื่อ Sygnia ทำการสแกนโครงสร้างของระบบ Linux ที่ถูกใช้ในองค์กรขนาดใหญ่ของเอเชียตะวันออกเฉียงใต้ การวิเคราะห์โค้ดของ PAM และ OpenSSH พบส่วนที่ถูกดัดแปลงเพื่อเปิดช่องทางลับให้กับผู้โจมตี ซึ่งบ่งบอกว่าการแทรกซึมนี้อาจเริ่มต้นตั้งแต่ประมาณ ปี 2016

Technical Details

PAM เป็นโมดูลที่ทำหน้าที่เชื่อมต่อการตรวจสอบตัวตนระหว่างระบบและแอปพลิเคชันต่าง ๆ การแทรกโค้ด backdoor เข้าไปใน PAM ทำให้แฮกเกอร์สามารถข้ามขั้นตอนตรวจสอบได้โดยไม่ต้องแก้ไขไฟล์การกำหนดค่า (configuration) ของผู้ใช้ใดผู้หนึ่งโดยตรง

ส่วน OpenSSH ซึ่งเป็นเครื่องมือหลักในการเชื่อมต่อระยะไกลของ Linux ก็ถูกดัดแปลงให้รับคำสั่งพิเศษจากเซิร์ฟเวอร์ควบคุมของกลุ่ม Velvet Ant การเปลี่ยนแปลงนี้ไม่ได้ทำให้เกิดข้อผิดพลาดที่ชัดเจนในบันทึก (log) ปกติ ทำให้การตรวจจับโดยระบบบันทึกเหตุการณ์ (logging) ยากต่อการสังเกต

การแทรกซึมเหล่านี้ใช้เทคนิคการ obfuscation (การทำให้โค้ดอ่านยาก) ร่วมกับการใช้ฟังก์ชันระบบที่เป็นที่ยอมรับอยู่แล้ว เช่น `pam_unix` และ `sshd` ทำให้โค้ดที่เป็นอันตรายดูเหมือนเป็นส่วนหนึ่งของกระบวนการทำงานปกติ

Detection & Response

Sygnia รายงานว่าการตรวจพบทำได้โดยการเปรียบเทียบแฮชของไฟล์ไบนารีของ PAM และ OpenSSH กับเวอร์ชันที่เป็นมาตรฐานจากแหล่งที่เชื่อถือได้ การตรวจสอบนี้พบความแตกต่างที่บ่งบอกถึงการแก้ไขโค้ดโดยไม่ได้รับอนุญาต

เมื่อพบข้อบกพร่อง ทีมรักษาความปลอดภัยขององค์กรที่ได้รับผลกระทบได้ดำเนินการ อัปเดตและเปลี่ยนไฟล์ไบนารี ของ PAM และ OpenSSH ด้วยเวอร์ชันที่ได้รับการตรวจสอบจากผู้ผลิต นอกจากนี้ยังได้ทำการสแกนหาความสัมพันธ์ของผู้ใช้ที่อาจได้รับการเข้าถึงโดย backdoor เพื่อทำการตัดสิทธิ์และรีเซ็ตรหัสผ่านที่เกี่ยวข้อง

การตอบสนองต่อเหตุการณ์นี้ยังรวมถึงการตรวจสอบ คีย์ SSH ที่อาจถูกคัดลอกออกไปและการตรวจสอบระบบเครือข่ายเพื่อหาการสื่อสารกับเซิร์ฟเวอร์ C2 (Command and Control) ของกลุ่ม Velvet Ant

Impact

การแทรกซึมที่อยู่ในระดับ PAM และ OpenSSH ส่งผลให้ **การปกป้องขอบเขตของระบบ (perimeter security) ไม่เพียงพอในการป้องกันการเข้าถึงที่ลึกลงไปในระบบปฏิบัติการ แฮกเกอร์สามารถใช้ช่องทางนี้เพื่อติดตั้งซอฟต์แวร์เพิ่มเติมหรือขโมยข้อมูลสำคัญได้โดยไม่ต้องเผชิญกับการตรวจจับจากระบบ IDS/IPS ปกติ

องค์กรหลายแห่งที่ใช้ Linux เป็นระบบหลักสำหรับเซิร์ฟเวอร์แอปพลิเคชันหรือฐานข้อมูลอาจต้องเผชิญกับความเสี่ยงด้านการละเมิดข้อมูล (data breach) และการหยุดทำงานของบริการ (downtime) เนื่องจากการบังคับให้ทำการอัปเดตและทดสอบความปลอดภัยอย่างละเอียด

Mitigation Recommendations

• ตรวจสอบไฟล์ไบนารีของ PAM และ OpenSSH กับแหล่งที่มาที่เชื่อถือได้โดยใช้การตรวจสอบแฮช (hash verification)
• อัปเดตซอฟต์แวร์เป็นเวอร์ชันล่าสุด จากผู้จัดจำหน่ายอย่างสม่ำเสมอ เพื่อรับการแก้ไขช่องโหว่ที่อาจถูกใช้เป็น backdoor
• ทำการสแกนระบบด้วยเครื่องมือ EDR/EDR ที่รองรับการตรวจจับการเปลี่ยนแปลงไฟล์ระดับระบบ
• รีเซ็ตคีย์ SSH ทั้งหมด ที่อาจถูกคัดลอกและตรวจสอบการเชื่อมต่อกับ IP ที่ไม่รู้จักในบันทึกของ `sshd`
• **เสริมการตรวจสอบพฤติกรรม (behavioral monitoring) เพื่อให้สามารถตรวจจับการเรียกใช้คำสั่งที่ผิดปกติจากกระบวนการ PAM หรือ OpenSSH

การดำเนินการตามขั้นตอนเหล่านี้จะช่วยลดความเสี่ยงจากการโจมตีที่ซ่อนอยู่ในชั้นล่างของระบบปฏิบัติการและเพิ่มความมั่นใจให้กับโครงสร้างพื้นฐานขององค์กร

Summary

กลุ่มแฮกเกอร์ Velvet Ant ที่มีความเชื่อมโยงกับจีนได้ฝัง backdoor ไว้ใน PAM และ OpenSSH ของ Linux เป็นเวลานานเกือบสิบปี การตรวจพบโดย Sygnia ทำให้เห็นถึงความอันตรายของการแทรกซึมในระดับระบบปฏิบัติการ การตอบสนองและมาตรการป้องกันที่ครอบคลุมเป็นสิ่งจำเป็นเพื่อปกป้องโครงสร้างพื้นฐานไอทีจากการโจมตีที่ลึกซึ้งเช่นนี้.