Sygnia: Velvet Ant spionierte zehn Jahre lang über manipulierte Authentifizierung in isoliertem Netzwerk

Zusammenfassung

Die chinesische Spionagegruppe Velvet Ant hat laut Sygnia die Authentifizierungsinfrastruktur einer großen Organisation kompromittiert und sich dort über ein Jahrzehnt gehalten. Die von den Forschern als „Operation Highland“ bezeichnete Kampagne begann 2016 mit der Kompromittierung angreifbarer, aus dem Internet erreichbarer Systeme und weitete sich später auf eine isolierte Umgebung ohne direkte Internetverbindung aus. Ziel war ein Netzwerk kritischer Infrastruktur. Besonders brisant ist laut Sygnia, dass die Angreifer nicht nur einen Zugangspunkt missbrauchten, sondern den Authentifizierungsprozess selbst übernahmen: Manipulierte PAM-Module und trojanisierte OpenSSH-Komponenten ermöglichten es, Zugangsdaten abzugreifen, fest kodierte Passwörter zu akzeptieren und Administratoraktivitäten umfassend mitzuschneiden. Damit war der Zugriff nicht mehr an einen einzelnen kompromittierten Server gebunden, sondern tief im Anmeldeprozess der Umgebung verankert. Sygnia beschreibt die Bereinigung deshalb als ungewöhnlich komplex, weil zahlreiche zentrale Komponenten durch angepasste Versionen ersetzt worden waren und eine unvorsichtige Entfernung Authentifizierungsfehler, den Ausschluss legitimer Administratoren und Betriebsstörungen hätte auslösen können.

Sygnia schreibt den Vorfall dem chinesischen Cyberspionage-Cluster Velvet Ant zu. Die Forscher entdeckten die Kampagne und gaben ihr den Namen „Operation Highland“. Demnach verschafften sich die Angreifer zunächst Zugang über internetseitig erreichbare Server. Welches Produkt oder welche konkrete Schwachstelle dabei ausgenutzt wurde, nennen die Forscher nicht.

Nach dem Erstzugriff installierte Velvet Ant eine modifizierte GS-Netcat-Reverse-Shell, die als legitime Systemkomponente getarnt war und sich zu einer fest kodierten Relay-Domain verband. Sie bot verschlüsselten Remote-Shell-Zugriff und sorgte laut Sygnia entweder über einen bösartigen systemd-Dienst oder über veränderte Startskripte für Persistenz.

Anschließend richteten die Angreifer einen maßgeschneiderten SOCKS5-Proxy für das Tunneln von Netzwerkverkehr ein. Der Proxy lief als Daemon unter der Tarnbezeichnung „smbd -D“, nutzte auf jedem Host unterschiedliche Dateinamen und Ports und machte kompromittierte Server zu internen Drehpunkten für weitere Bewegungen im Netzwerk.

Den Übergang in die isolierte Umgebung erreichte Velvet Ant laut Sygnia über eine Kette gezielter Änderungen an Nginx- und FastCGI-Komponenten. Die Gruppe veränderte die Konfiguration eines kompromittierten, internetseitig erreichbaren Nginx-Servers so, dass speziell präparierte Anfragen an einen kompromittierten Backend-Server weitergeleitet wurden. Dessen Nginx-Konfiguration leitete Anfragen wiederum an einen auf einem separaten Port lauschenden FastCGI-Prozess, fcgiwrap, weiter.

Dieser FastCGI-Wrapper diente als Ausführungsbrücke und startete ein angepasstes Binärprogramm namens „uptime“. Das Werkzeug baute anhand von Parametern aus HTTP-POST-Anfragen SSH-Verbindungen zu Systemen innerhalb des isolierten Netzes kritischer Infrastruktur auf. Sygnia fasst das so zusammen: „Durch die Verkettung dieser Änderungen richtete Velvet Ant einen Pfad zur Fernausführung in die segmentierte Umgebung über einfache HTTP-Anfragen ein, ohne dass jemals eine direkte Verbindung zum Netzwerk kritischer Infrastruktur erforderlich war.“

Innerhalb der isolierten Umgebung verlagerte sich der Schwerpunkt auf langfristige Persistenz und den Diebstahl von Zugangsdaten. Dazu ersetzte Velvet Ant legitime „pam_unix.so“-Module durch präparierte Versionen, die fest kodierte Passwörter akzeptierten und Benutzeranmeldedaten abgriffen. Sygnia identifizierte neun unterschiedliche Varianten des schädlichen PAM-Moduls, jeweils in separaten Build-Umgebungen kompiliert. Zwei dieser Module hoben die Forscher besonders hervor: eines fungierte ausschließlich als Hintertür, ein anderes sammelte Zugangsdaten.

Zusätzlich ersetzten die Angreifer OpenSSH-Komponenten wie ssh, sshd und scp durch trojanisierte Varianten. Diese zeichneten Zugangsdaten auf, protokollierten in SSH-Sitzungen eingegebene Befehle und speicherten die gesammelten Daten lokal zur späteren Abholung. Nach Einschätzung von Sygnia verschaffte die Manipulation von PAM und OpenSSH den Angreifern Zugang zu Anmeldedaten in dem Moment, in dem sie im Zielnetz genutzt wurden, und erlaubte es ihnen, den Authentifizierungsablauf zu umgehen.

Die Folge beschreibt Sygnia so: „Administrative Aktivitäten wurden vollständig sichtbar: jede Anmeldung, jeder auf kompromittierten Hosts ausgeführte Befehl. Der Zugriff war nicht länger an einen bestimmten Zugangspunkt gebunden, sondern im Authentifizierungsprozess selbst verankert.“ Gerade das habe herkömmliche Eindämmungsmaßnahmen deutlich weniger wirksam gemacht.

Die Bereinigung erwies sich laut Sygnia als besonders schwierig. Weil so viele kritische Komponenten durch eigene Varianten ersetzt worden waren, hätte deren Entfernung Authentifizierungsprobleme verursachen, legitime Administratoren aussperren und operative Ausfälle nach sich ziehen können. Um das zu vermeiden, baute das Team ein Testlabor auf, validierte dort den Austausch der Binärdateien, profilierte jeden Host, testete die Ergebnisse und bereitete Rückfallverfahren vor, bevor mit der Bereinigung begonnen wurde.

Sygnia hatte Velvet Ant bereits 2024 mit einer Kampagne gegen F5 BIG-IP-Geräte in Verbindung gebracht, die drei Jahre unentdeckt geblieben war. Ebenfalls 2024 warnte Cisco vor einer Zero-Day-Schwachstelle in NX-OS auf Nexus-Switches, die von Velvet Ant zum Zugang auf Ziele ausgenutzt wurde.

Sygnia: Velvet Ant spionierte zehn Jahre lang über manipulierte Authentifizierung in isoliertem Netzwerk

Ähnliche Artikel

Neueste Artikel