Encuentros cercanos con APT: una investigación de seguridad revela un kernel modificado

Durante una evaluación de seguridad rutinaria para un cliente habitual, el investigador descubrió una intrusión sofisticada que había modificado el kernel de Linux en los servidores de balanceo de carga. Los servidores, que ejecutan una pila personalizada con un kernel monolítico y una aplicación en Go, arrancan desde un USB externo y montan un recurso NFS para configuración. Al analizar el tráfico de red para detectar filtración de datos personales, el investigador notó anomalías en la distribución temporal de las conexiones con PII. Al inspeccionar el tráfico NFS, encontró un tamaño de archivo inesperado y una cadena modificada en las solicitudes de apertura NFS: 'open id:' se había convertido en 'open-id:'. Esto llevó a examinar el binario del kernel, donde se descubrió que una función desconocida reemplazaba el espacio por un guión en ciertas condiciones, lo que sugería una modificación maliciosa. El análisis forense reveló un binario malicioso adicional y un esquema de persistencia mediante parches en el kernel. La investigación concluyó que un atacante había comprometido el entorno de construcción del kernel, logrando persistencia y evasión. El incidente subraya la importancia de verificar la integridad del software base y monitorear comportamientos anómalos en sistemas críticos.