Back to Blog

แฮกเกอร์เชื่อมโยงจีนแอบซ่อนในระบบล็อกอินลินุกซ์นานเกือบสิบปี

แฮกเกอร์กลุ่ม Velvet Ant ที่เชื่อมโยงกับจีนแอบซ่อนในระบบล็อกอินลินุกซ์นานเกือบสิบปีด้วยการเจาะ PAM และ OpenSSH เรียนรู้เทคนิคและวิธีป้องกัน

Sales
1 min read
แฮกเกอร์เชื่อมโยงจีนแอบซ่อนในระบบล็อกอินลินุกซ์นานเกือบสิบปี

แฮกเกอร์ที่เชื่อมโยงกับจีนได้ใช้วิธีการแอบแฝงที่ซับซ้อนเพื่อซ่อนตัวอยู่ในระบบล็อกอินของลินุกซ์เป็นเวลาเกือบหนึ่งทศวรรษ แทนที่จะโจมตีเซิร์ฟเวอร์หรือแล็ปท็อปที่ถูกเฝ้าระวังอย่างใกล้ชิด กลุ่มนี้กลับเลือกเจาะระบบที่ตรวจสอบการเข้าใช้งานโดยตรง

กลุ่มที่ถูกติดตามในชื่อ Velvet Ant โดย Sygnia ใช้เทคนิคการเจาะระบบ PAM และ OpenSSH ซึ่งเป็นส่วนประกอบสำคัญที่ตัดสินว่าผู้ใดได้รับอนุญาตให้เข้าสู่ระบบ ทำให้การเข้าถึงของพวกเขาอยู่เหนือการทำความสะอาดทั่วไป


การโจมตีที่ซ่อนอยู่ในระบบล็อกอิน


กลุ่ม Velvet Ant ไม่ได้เลือกโจมตีเครื่องที่ถูกจับตามองเป็นพิเศษ แต่กลับฝังตัวอยู่ในระบบยืนยันตัวตนของลินุกซ์โดยตรง ซึ่งเป็นพื้นที่ที่ผู้ดูแลระบบมักมองข้าม การใช้ประตูหลังใน PAM และ OpenSSH ทำให้พวกเขาสามารถควบคุมการเข้าใช้งานได้อย่างแนบเนียน

การโจมตีครั้งนี้มุ่งเป้าไปที่เครือข่ายที่ไม่มีมาตรการป้องกันที่เพียงพอ ทำให้กลุ่มสามารถดำรงอยู่ได้นานนับปีโดยไม่ถูกตรวจพบ


เทคนิคการแทรกซึมที่มีความซับซ้อน


การเจาะระบบครั้งนี้ใช้ประโยชน์จากช่องโหว่ในซอฟต์แวร์ที่ใช้กันอย่างแพร่หลาย โดยกลุ่มได้ดัดแปลงโค้ดของ PAM และ OpenSSH เพื่อให้สามารถเข้าถึงได้โดยไม่ต้องผ่านการตรวจสอบสิทธิ์ตามปกติ วิธีการนี้แทบไม่ทิ้งร่องรอยในระบบไฟล์หรือบันทึกเหตุการณ์ทั่วไป

นักวิจัยด้านความปลอดภัยชี้ว่าการโจมตีลักษณะนี้ต้องการความเข้าใจอย่างลึกซึ้งในสถาปัตยกรรมของลินุกซ์ ซึ่งบ่งบอกถึงทรัพยากรและความเชี่ยวชาญสูงของกลุ่มผู้โจมตี


ผลกระทบต่อความปลอดภัยทางไซเบอร์


การที่แฮกเกอร์สามารถซ่อนตัวในระบบล็อกอินได้นานถึงเกือบสิบปีแสดงให้เห็นถึงความท้าทายในการตรวจจับภัยคุกคามที่ซับซ้อน องค์กรต่างๆ จำเป็นต้องเพิ่มการตรวจสอบความสมบูรณ์ของซอฟต์แวร์หลัก และใช้เครื่องมือที่สามารถตรวจจับการเปลี่ยนแปลงในโค้ดที่สำคัญ

การโจมตีนี้ยังเน้นย้ำถึงความสำคัญของการอัปเดตการรักษาความปลอดภัยอย่างสม่ำเสมอ และการตรวจสอบบันทึกการเข้าถึงอย่างละเอียดเพื่อหาความผิดปกติที่อาจบ่งชี้ถึงการมีอยู่ของผู้บุกรุก


การป้องกันและการรับมือ


องค์กรควรใช้แนวทางการป้องกันหลายชั้น รวมถึงการตรวจสอบไฟล์ระบบที่สำคัญเป็นระยะ การใช้ระบบตรวจจับการบุกรุกบนโฮสต์ และการจำกัดสิทธิ์การเข้าถึงเฉพาะที่จำเป็น นอกจากนี้ การฝึกอบรมพนักงานให้ตระหนักถึงภัยคุกคามทางไซเบอร์ก็เป็นปัจจัยสำคัญ

การติดตามข่าวสารด้านความปลอดภัยและการร่วมมือกับผู้เชี่ยวชาญสามารถช่วยให้องค์กรปรับปรุงมาตรการป้องกันให้ทันต่อภัยคุกคามที่พัฒนาไปอย่างต่อเนื่อง


Reference


The Hacker News

หากสนใจสินค้า หรือต้องการคำปรึกษาเพิ่มเติม

💬 Line @monsteronline

☎️ Tel 02-026-6664

📩 Email [email protected]

🌐 ดูสินค้าเพิ่มเติม mon.co.th

แชทผ่าน LINEดูสินค้าทั้งหมด