Newsletter Subscribe
Enter your email address below and subscribe to our newsletter

intelfusions+1intelfusionstechinformedEine mit China verbundene Spionagegruppe hielt sich fast zehn Jahre lang unbemerkt im sensibelsten Netzwerk einer Organisation auf und entging der Entdeckung, indem sie die Software umschrieb, die Benutzeranmeldungen verarbeitet, so eine forensische Untersuchung, die diese Woche von der Incident-Response-Firma Sygnia veröffentlicht wurde.intelfusions
Der Eindringversuch, den Sygnia als Operation Highland bezeichnet, wird einem Bedrohungsakteur zugeschrieben, den die Firma als Velvet Ant verfolgt. Die frühesten forensischen Spuren reichen bis ins Jahr 2016 zurück, was bedeutet, dass die Gruppe fast ein Jahrzehnt lang Zugriff hatte, bevor sie entdeckt wurde.intelfusions
Anstatt sich auf ein einzelnes Implantat zu verlassen, das Verteidiger finden und entfernen könnten, ersetzte Velvet Ant pam_unix.so – das Linux Pluggable Authentication Module, das Passwörter überprüft – sowie mehrere OpenSSH-Binärdateien auf mehreren Hosts durch manipulierte Versionen. Dies gab den Angreifern eine versteckte Umgehungsmöglichkeit, um sich als beliebiger Benutzer anzumelden, sowie einen eingebauten Keylogger, der legitime Anmeldedaten erfasste, während Administratoren sie eingaben.intelfusions
Sygnia identifizierte neun verschiedene Varianten des bösartigen PAM-Moduls, die jeweils in einer separaten Build-Umgebung kompiliert wurden, was auf eine gut ausgestattete und gezielte Operation hindeutet. Die manipulierten SSH-Binärdateien trugen ein benutzerdefiniertes Flag, um ihre eigene Protokollierung von Anmeldedaten zu unterdrücken, wodurch die Betreiber ihren forensischen Fußabdruck während der aktiven Tätigkeit verwalten konnten.intelfusions
Das anvisierte kritische Netzwerk hatte keine direkte Internetverbindung. Velvet Ant erreichte es über einen mehrstufigen lateralen Pfad: Zuerst wurden internetseitige Server kompromittiert, dann wurde durch das Unternehmens-IT-Netzwerk getunnelt, wobei eine modifizierte Version von GS-Netcat verwendet wurde, die in "auditdb" umbenannt und in /usr/sbin/ abgelegt wurde, um sich unter Systemdienstprogramme zu mischen.intelfusions
Da die Angreifer die Komponenten kontrollierten, die den Fernzugriff und die Systemadministration abwickeln, erwiesen sich standardmäßige Eindämmungsmaßnahmen als ineffektiv. Die Hintertüren überstanden Passwortänderungen und Sitzungsbeendigungen. Sygnia betont, dass ein unsachgemäßer Austausch kompromittierter Binärdateien auf Live-Systemen Administratoren vollständig aussperren könnte und dass Hintertüren entfernt werden müssen, bevor Passwörter zurückgesetzt werden, um einen erneuten Diebstahl von Anmeldedaten zu verhindern.sygnia+1
Die Firma empfiehlt, PAM-Module und OpenSSH-Binärdateien auf unerwartete Änderungen zu überwachen, anmeldebezogene Dateien mit bekannten guten Baselines abzugleichen und nach nicht autorisierten authorized_keys-Einträgen zu suchen.intelfusions
Dies ist nicht das erste Mal, dass Sygnia die auf Persistenz ausgerichtete Handwerkskunst von Velvet Ant dokumentiert. Die Firma brachte die Gruppe zuvor mit dem Missbrauch von F5 BIG-IP-Appliances und der Ausnutzung von CVE-2024-20399, einem Zero-Day in Cisco NX-OS, in Verbindung, um Hintertüren auf Nexus-Switches zu platzieren. Das konsistente Muster: Wenn sie entdeckt werden, weicht Velvet Ant auf weniger überwachte Infrastrukturen aus und baut sich neu auf.sygnia+1
Die Offenlegung erfolgt inmitten einer breiteren Welle von Warnungen vor chinesischen Cyberoperationen gegen kritische Infrastrukturen. CrowdStrike berichtete diese Woche, dass mit China verbundene Gegner zwischen April 2025 und März 2026 für mehr als 58 % der staatlich geförderten Eindringversuche gegen Technologieunternehmen verantwortlich waren.techinformed+1