สรุปสั้น

บริษัทด้านความปลอดภัยไซเบอร์ Sygnia เปิดเผยปฏิบัติการ Operation Highland ที่พบว่ากลุ่มแฮ็กเกอร์ Velvet Ant ซึ่งเชื่อมโยงกับจีน ได้แก้ไขระบบล็อกอินหลักของ Linux คือ PAM (Pluggable Authentication Module) และ OpenSSH บนเซิร์ฟเวอร์เป้าหมาย เพื่อฝัง backdoor ที่สามารถขโมยชื่อผู้ใช้และรหัสผ่านจริงได้ขณะที่ผู้ใช้ล็อกอินตามปกติ พร้อมเปิดช่องทางลับให้ผู้โจมตีเข้าถึงระบบด้วยรหัสผ่านพิเศษ ร่องรอยที่เก่าที่สุดย้อนไปถึงปี 2016 หรือเกือบ 10 ปี โดยพบ backdoor ถึง 9 เวอร์ชันที่แตกต่างกัน

เทคนิคนี้อันตรายอย่างยิ่งเพราะตัวระบบล็อกอินเองถูกดัดแปลงให้ทำงานให้ผู้โจมตี ทำให้มาตรการรับมือทั่วไปอย่างการรีเซ็ตรหัสผ่านหรือการตัด session ไม่มีผล เนื่องจากรหัสผ่านใหม่จะถูกขโมยทันทีที่ผู้ใช้พิมพ์เข้าไป ก่อนหน้านี้ Sygnia เคยพบกลุ่มเดียวกันฝังตัวในอุปกรณ์ F5 BIG-IP และใช้ช่องโหว่ CVE-2024-20399 ในสวิตช์ Cisco NX-OS เป็นจุดยืนถาวรเช่นกัน

รายละเอียดข่าว

เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 12 มิถุนายน พ.ศ. 2569 ว่าบริษัท Sygnia ซึ่งเป็นบริษัทด้านการตอบสนองต่อเหตุการณ์ไซเบอร์ ได้เปิดเผยรายละเอียดปฏิบัติการที่ตั้งชื่อว่า Operation Highland ซึ่งเกี่ยวข้องกับกลุ่มภัยคุกคาม Velvet Ant ที่มีความเชื่อมโยงกับรัฐบาลจีน กลุ่มนี้เจาะเข้าเครือข่ายเป้าหมายที่ไม่มีการเชื่อมต่ออินเทอร์เน็ตโดยตรง (air-gapped segment) โดยใช้เว็บเซิร์ฟเวอร์ที่เชื่อมต่ออินเทอร์เน็ตเป็นสะพานส่งต่อคำสั่งเข้าไปยังเครือข่ายภายใน

แทนที่จะวางมัลแวร์ใหม่ที่อาจถูกสแกนเนอร์ตรวจพบ ผู้โจมตีเลือกแก้ไขโปรแกรมล็อกอินที่ระบบเชื่อถืออยู่แล้ว โดยแทนที่โมดูล PAM หลักด้วยเวอร์ชันที่ฝัง backdoor ไว้ บางเวอร์ชันเปิดให้เข้าระบบด้วยรหัสผ่านลับ บางเวอร์ชันบันทึก credential ของผู้ใช้จริงทุกครั้งที่ล็อกอิน ส่วนโปรแกรม OpenSSH ก็ถูกดัดแปลงในลักษณะเดียวกัน คือบันทึก credential และทุกคำสั่งที่ผู้ใช้พิมพ์ พร้อมมีสวิตช์ลับสำหรับปิดการบันทึกเมื่อต้องการ นักวิจัยพบ backdoor ทั้งหมด 9 เวอร์ชันที่แตกต่างกันในเครือข่ายเป้าหมาย

วิธีการโจมตี

กลุ่ม Velvet Ant ใช้แนวทางที่เรียกว่า “living off trusted infrastructure” โดยมีขั้นตอนหลักดังนี้:

ขั้นแรก ผู้โจมตีเจาะเข้าระบบที่เชื่อมต่ออินเทอร์เน็ตก่อน จากนั้นใช้เครื่องมือที่ปลอมตัวและเว็บเซิร์ฟเวอร์เป็นสะพาน (bridge) ส่งต่อคำสั่งผ่านเข้าไปยังเครือข่ายภายในที่แยกจากอินเทอร์เน็ต เพื่อเปิด remote session ลึกเข้าไปในเซกเมนต์ที่ไม่มีทางออกอินเทอร์เน็ตโดยตรง

เมื่อเข้าถึงเครื่องเป้าหมายได้แล้ว ผู้โจมตีจะแทนที่ไฟล์ไบนารีของ PAM authentication module (pam_unix.so) และ OpenSSH daemon ด้วยเวอร์ชันที่ฝังโค้ดอันตราย การเปลี่ยนแปลงนี้ไม่ทิ้งร่องรอยที่ชัดเจน เพราะไม่มี exploit ใหม่หรือมัลแวร์แยกต่างหากที่จะถูกตรวจจับ กิจกรรมทั้งหมดดูเหมือนการบริหารระบบปกติ

เทคนิคนี้ไม่ใช่เรื่องใหม่สำหรับ Velvet Ant ในปี 2024 Sygnia พบว่ากลุ่มเดียวกันเปลี่ยนอุปกรณ์ F5 BIG-IP ที่เชื่อมต่ออินเทอร์เน็ตให้เป็นเซิร์ฟเวอร์สั่งการภายใน และยังใช้ช่องโหว่ CVE-2024-20399 ในระบบปฏิบัติการ Cisco NX-OS เพื่อฝัง backdoor บนสวิตช์เครือข่าย ช่องโหว่ดังกล่าวต้องมีสิทธิ์ admin อยู่แล้วจึงเป็นเครื่องมือสำหรับ persistence ไม่ใช่การเจาะเข้าระบบครั้งแรก Cisco ออกแพตช์ในเดือนกรกฎาคม 2024 และ CISA แจ้งเตือนว่าถูกโจมตีจริงในวันถัดมา

ผลกระทบต่อไทย

องค์กรในไทยที่ใช้เซิร์ฟเวอร์ Linux เป็นโครงสร้างพื้นฐานหลัก โดยเฉพาะหน่วยงานภาครัฐ สถาบันการเงิน โทรคมนาคม และโครงสร้างพื้นฐานสำคัญ ควรตระหนักว่าเทคนิคการฝัง backdoor ในระบบล็อกอินนี้สามารถเกิดขึ้นได้กับทุกเครือข่ายที่ใช้ Linux ประเทศไทยเป็นหนึ่งในเป้าหมายของกลุ่ม APT จากจีนมาอย่างต่อเนื่อง และกลุ่ม Velvet Ant มีประวัติโจมตีเป้าหมายในภูมิภาคเอเชีย การตรวจสอบความถูกต้องของไฟล์ระบบล็อกอิน (integrity check) ซึ่งมักไม่ได้อยู่ในขั้นตอนการตรวจสอบมาตรฐาน ควรถูกเพิ่มเข้าเป็นส่วนหนึ่งของแผนรักษาความปลอดภัย นอกจากนี้ องค์กรที่ใช้อุปกรณ์ F5 BIG-IP และสวิตช์ Cisco Nexus ควรตรวจสอบและอัปเดตแพตช์ CVE-2024-20399 หากยังไม่ได้ดำเนินการ

คำแนะนำ

  • ตรวจสอบความถูกต้อง (integrity) ของไฟล์ PAM module (pam_unix.so) และ OpenSSH binary บนเซิร์ฟเวอร์ Linux ทุกเครื่อง โดยเปรียบเทียบ hash กับเวอร์ชันที่ทราบว่าปลอดภัย
  • ตั้ง monitoring alert สำหรับการเปลี่ยนแปลงไฟล์ PAM และ OpenSSH รวมถึงไฟล์ configuration ที่เกี่ยวข้อง
  • หากพบ backdoor ต้องกำจัดออกก่อนรีเซ็ตรหัสผ่าน มิฉะนั้นรหัสผ่านใหม่จะถูกขโมยทันที และควรทดสอบไฟล์ทดแทนใน lab ก่อนเพื่อไม่ให้ล็อกผู้ดูแลออกจากระบบ
  • อัปเดตแพตช์ CVE-2024-20399 บนสวิตช์ Cisco Nexus และตรวจสอบอุปกรณ์ F5 BIG-IP ว่ามีการเชื่อมต่อขาออกที่ผิดปกติหรือไม่
  • พิจารณาใช้เครื่องมือ File Integrity Monitoring (FIM) เช่น AIDE, OSSEC หรือ Tripwire สำหรับ infrastructure layer ที่มักถูกมองข้าม

แหล่งอ้างอิง