Recientes investigaciones revelan la actividad de un grupo de ciberespionaje vinculado a China, que ha estado operando durante casi una d\u00e9cada, infiltr\u00e1ndose en redes cr\u00edticas mediante t\u00e9cnicas sofisticadas. Este art\u00edculo examina los m\u00e9todos utilizados por los atacantes y las recomendaciones para prevenir futuros incidentes.<\/p>\n
En lugar de instalar software malicioso junto a programas leg\u00edtimos, los atacantes han optado por reemplazar completamente componentes fundamentales de la autenticaci\u00f3n en Linux. Seg\u00fan el an\u00e1lisis realizado por Sygnia, los m\u00f3dulos PAM (Pluggable Authentication Modules) y los binarios de OpenSSH fueron objetivo de estos ataques. Esto permiti\u00f3 a los hackers acceder a cada credencial ingresada y a cada comando ejecutado en los sistemas comprometidos.<\/p>\n
Los investigadores identificaron nueve variantes<\/strong> del archivo Autenticaci\u00f3n por Atajo<\/strong>: Aqu\u00ed, se codific\u00f3 un password fijo para eludir el proceso de autenticaci\u00f3n, elimin\u00e1ndolo de la memoria inmediatamente despu\u00e9s de ser utilizado.<\/p>\n<\/li>\n Captura de Credenciales<\/strong>: En esta segunda variante, el c\u00f3digo fue alterado para registrar cada nombre de usuario y contrase\u00f1a en un archivo oculto ( Adem\u00e1s de los cambios en PAM, el grupo conocido como Velvet Ant tambi\u00e9n modific\u00f3 las herramientas ssh<\/strong>, sshd<\/strong> y scp<\/strong> para registrar credenciales, comandos ingresados y pulsaciones de teclas. Estos datos se cifraron y se almacenaron en archivos cuya fecha y hora fueron falsificadas para alinearse con el directorio de shells.<\/p>\n Los atacantes implementaron un flag no documentado ( En versiones anteriores del kit SSH, Velvet Ant implement\u00f3 un sistema de backdoor rotativo<\/strong>. Este m\u00e9todo utilizaba siete hashes MD5 diferentes, uno para cada d\u00eda de la semana, determinando as\u00ed qu\u00e9 contrase\u00f1a otorgar\u00eda acceso en un d\u00eda espec\u00edfico. Estas actividades fueron rastreadas hasta 2016, gracias a registros de pulsaciones almacenados en Para contrarrestar estos tipos de ataques, Sygnia subraya la importancia de tratar m\u00f3dulos cr\u00edticos como PAM, OpenSSH y LSASS en Windows como activos esenciales<\/strong>. Es esencial implementar la detecci\u00f3n de puntos finales y controles de integridad de archivos.<\/p>\n Adem\u00e1s, se recomienda establecer autenticaci\u00f3n multifactor como herramienta de acceso a los servidores, previniendo que un atacante que ya tenga control sobre el flujo de autenticaci\u00f3n pueda eludir esta medida.<\/p>\n La actividad de este grupo de ciberespionaje resalta la creciente sofisticaci\u00f3n de los ataques cibern\u00e9ticos dirigidos. La atenci\u00f3n continua a la seguridad de los sistemas de autenticaci\u00f3n y la adopci\u00f3n de medidas preventivas son cruciales para proteger las redes frente a amenazas emergentes. La seguridad cibern\u00e9tica debe ser una prioridad constante en un mundo donde los ataques son cada vez m\u00e1s avanzados.<\/p>\npam_unix.so<\/code>, cada una compilada en un entorno de construcci\u00f3n distinto. Las variantes se agrupan en dos familias principales:<\/p>\n\n
\/usr\/sbin\/.ssh.log<\/code>) con cada inicio de sesi\u00f3n leg\u00edtimo.<\/p>\n<\/li>\n<\/ol>\nModificaciones Maliciosas en OpenSSH<\/h3>\n
-d<\/code>) que, cuando se activaba durante sus propias sesiones, aseguraba que sus entradas no se registraran, lo que les otorgaba un nivel adicional de ocultaci\u00f3n.<\/p>\nMecanismos de Acceso<\/h3>\n
\/var\/lib\/sam\/<\/code>.<\/p>\nRecomendaciones de Seguridad<\/h3>\n
Conclusi\u00f3n<\/h3>\n