Thought Leadership
Die Hackergruppe Velvet Ant hat über fast zehn Jahre hinweg Linux-Login-Systeme mit einer Hintertür versehen, um unbemerkt Netzwerke auszuspionieren.
Die Cybersicherheitsfirma Sygnia hat einen weitreichenden Spionageangriff der mit China in Verbindung gebrachten Hackergruppe Velvet Ant aufgedeckt. Im Rahmen der sogenannten Operation Highland gelang es den Akteuren, über einen Zeitraum von fast zehn Jahren unbemerkt in einem isolierten Netzwerksegment aktiv zu bleiben. Die frühesten Spuren der Infiltration reichen bis in das Jahr 2016 zurück. Anstatt herkömmliche Schadsoftware zu installieren, die von gängigen Sicherheitsscannern entdeckt worden wäre, veränderten die Angreifer die vertrauenswürdigen Anmeldeprogramme des Betriebssystems direkt.
Die Hacker ersetzten die zentralen PAM-Komponenten (Pluggable Authentication Modules) sowie die OpenSSH-Dienste auf den betroffenen Linux-Servern durch manipulierte Kopien. Insgesamt identifizierten die Sicherheitsforscher neun verschiedene Versionen dieser modifizierten Dateien. Einige dieser Hintertüren erlaubten den Angreifern den Zugriff über ein geheimes Passwort, während andere Varianten die legitimen Benutzernamen und Kennwörter von autorisierten Mitarbeitern während des regulären Login-Vorgangs im Klartext mitschrieben. Die veränderten OpenSSH-Komponenten protokollierten zudem jeden eingegebenen Befehl.
Überbrückung isolierter Netzwerke
Da das angegriffene Netzwerk über keinen direkten Internetzugang verfügte, nutzten die Akteure einen extern erreichbaren Webserver als Brücke. Über diesen Server leiteten sie Befehle weiter, um Remote-Sitzungen tief innerhalb des abgeschotteten Segments zu öffnen. Da die Authentifizierungsebene selbst kompromittiert war, blieben herkömmliche Gegenmaßnahmen wie das Beenden aktiver Sitzungen oder das Zurücksetzen von Passwörtern wirkungslos, da die Kontrollinstanz für diese Daten direkt im Sinne der Angreifer arbeitete.
Diese Vorgehensweise entspricht dem bekannten Muster der Gruppierung Velvet Ant, die sich regelmäßig auf Infrastrukturkomponenten konzentriert, die seltener überwacht werden. In einem Fall aus dem Jahr 2024 stellte Sygnia fest, dass dieselbe Gruppe öffentlich zugängliche F5 BIG-IP-Appliances in interne Befehlsserver umwandelte. Später im selben Jahr nutzten die Angreifer eine Schwachstelle im Betriebssystem Cisco NX-OS, registriert unter CVE-2024-20399, um Hintertüren auf Netzwerk-Switches zu platzieren. Diese Sicherheitslücke setzte bereits administrative Zugangsrechte voraus und diente primär der langfristigen Absicherung des Zugriffs.
Anforderungen an die Bereinigung der Linux-Infrastruktur
Da die Angreifer nach dem Eindringen legitime Systemdateien modifizierten, lässt sich der Vorfall nicht durch einfache Software-Updates oder Patches beheben. IT-Sicherheitsanalysten betonen, dass die Bereinigung eine manuelle Überprüfung erfordert, bei der die aktiven PAM- und OpenSSH-Programme direkt mit verifizierten, fehlerfreien Originalkopien abgeglichen werden müssen.
Der Austausch dieser Systemdateien muss präzise erfolgen, da fehlerhafte Ersetzungen die Administratoren vollständig aus dem laufenden Betriebssystem aussperren können. Zudem müssen die Hintertüren vollständig entfernt werden, bevor Passwörter neu vergeben werden. Erfolgt das Zurücksetzen der Benutzerdaten vor der Bereinigung der Login-Komponenten, werden die neuen Kennwörter unmittelbar wieder durch die aktiven Protokollierungsfunktionen der Angreifer abgefangen.
(red)
