- Grupo de hackers ligado à China manteve acesso oculto por quase dez anos na rede de uma grande organização, segundo a Sygnia.
- Campanha chamada Operation Highland foi atribuída ao grupo Velvet Ant.
- Os invasores mudavam de posição na rede e criavam novos meios de acesso mesmo após parte da operação ser descoberta.
- Sinais da presença foram identificados desde 2017, alcançando áreas internas protegidas, incluindo segmentos sem conexão direta com a internet.
- Para manter o controle, adulteraram componentes usados no login em servidores Linux, capturando senhas de usuários e, em alguns casos, entrando com uma senha secreta criada pelos próprios invasores.
Um grupo de hackers ligado à China manteve acesso oculto por quase uma década na rede de uma grande organização, aponta a investigação da Sygnia. A campanha, batizada Operation Highland, foi atribuída ao subgrupo Velvet Ant. A permanência começou a chamar atenção pela persistência mesmo após detecções parciais.
Os invasores mudavam de posição dentro da rede e criavam novos meios de acesso, sem abandonar o ambiente. A aptidão de se manter ativos após descobertas parciais evidencia uma operação adaptável e multicamada.
Sinais da presença foram identificados desde 2017, quando os atacantes alcançaram áreas internas mais protegidas, incluindo segmentos sem conexão direta com a internet. A ação sugere foco em espionagem prolongada e foco em setores isolados da organização.
Detalhes da campanha
Para manter o controle, os hackers adulteraram componentes usados no processo de login em servidores Linux. Com isso, capturavam senhas de usuários legítimos e, em alguns casos, entravam nos sistemas com uma senha secreta criada pelos próprios invasores.
Lições para segurança
O caso evidencia que campanhas de espionagem podem permanecer ativas por longos períodos quando atingem redes pouco monitoradas. Reforça a necessidade de monitoramento de ambientes internos isolados e de controles de acesso em camadas.
Entre na conversa da comunidade