与中国有关的黑客劫持Linux登录系统近十年

据事件响应公司 Sygnia 本周发布的一份取证调查报告，一个与中国有关联的网络间谍组织悄然潜伏在某机构最核心的敏感网络中近十年，通过篡改负责处理用户登录的核心软件来规避检测。

此次入侵事件被 Sygnia 命名为"高地行动"（Operation Highland），矛头指向该公司追踪的威胁行为者"丝绒蚁"（Velvet Ant）。最早的取证痕迹可追溯至2016年，这意味着该组织在被发现之前已维持访问权限长达近十年。

深入了解身份验证堆栈

Velvet Ant 并未依赖单一植入程序（防御者一旦发现即可将其移除），而是在多台主机上将 pam_unix.so——负责验证密码的 Linux 可插拔身份验证模块——以及多个 OpenSSH 二进制文件替换为带有后门的版本。这为攻击者提供了一条隐蔽的绕过通道，使其能够以任意用户身份登录，同时内置键盘记录器可在管理员输入凭据时实时捕获合法凭据。

Sygnia 共识别出九种不同变体的恶意 PAM 模块，每种均在独立的构建环境中编译，表明这是一次资源充足、精心谋划的行动。经篡改的 SSH 二进制文件内置了自定义标志，用于屏蔽自身的凭据日志记录，使攻击者能够在实时活动期间灵活管理其取证痕迹。

目标关键网络与互联网无直接连接。Velvet Ant 通过多级横向路径将其攻破：首先入侵面向互联网的服务器，随后利用经过修改的 GS-Netcat（被重命名为"auditdb"并投放至 /usr/sbin/ 目录以伪装成系统工具），在企业 IT 网络中建立隧道通道。

为何清理工作风险异常之高

由于攻击者控制了负责远程访问和系统管理的组件，标准的遏制措施收效甚微。即便更改密码、终止会话，后门依然存在。Sygnia 强调，在运行中的系统上错误替换被入侵的二进制文件，可能导致管理员被完全锁定在系统之外；此外，必须先清除后门，再重置密码，否则凭据将面临再次被盗的风险。

该公司建议：监控 PAM 模块和 OpenSSH 二进制文件是否发生异常变更，将登录相关文件与已知可信基线进行比对验证，并排查未经授权的 authorized_keys 条目。

熟悉的套路

这并非 Sygnia 首次记录 Velvet Ant 以持久化为核心的攻击手法。该公司此前已将该组织与滥用 F5 BIG-IP 设备及利用 CVE-2024-20399（Cisco NX-OS 中的一个零日漏洞）在 Nexus 交换机上植入后门的行为相关联。其一贯模式是：一旦被发现，Velvet Ant 便转向监控较少的基础设施并重新构建攻击能力。

此次披露恰逢外界对中国针对关键基础设施发动网络行动的警告浪潮持续升温之际。CrowdStrike 本周报告称，在 2025 年 4 月至 2026 年 3 月期间，与中国有关联的威胁行为者发动的入侵占针对科技实体的国家支持入侵事件总数的 58% 以上。