Auf den Punkt: Eine China-verknüpfte Hackergruppe infiltrierte über Jahre hinweg die fundamentalen Linux-Authentifizierungssysteme PAM und OpenSSH und entzog sich damit klassischen Erkennungsmethoden.
Eine China-verknüpfte Hackergruppe, die Sygnia als Velvet Ant bezeichnet, hat über etwa ein Jahrzehnt hinweg zentrale Linux-Authentifizierungskomponenten kompromittiert. Die Angreifer manipulierten PAM- und OpenSSH-Komponenten, um persistent in einem Netzwerk präsent zu bleiben, ohne durch routiniert durchgeführte Systembereinigungen entdeckt zu werden.
Sygnia, ein Sicherheitsunternehmen, das auf Threat Intelligence spezialisiert ist, dokumentiert die Aktivitäten einer Angreiferin namens Velvet Ant, die in direkter Nähe zur chinesischen Cyberbedrohungslandschaft verortet wird. Die Gruppe hat sich auf einer kritischen Ebene der Infrastruktur festgesetzt: in den Login-Mechanismen selbst.
Die Backdoors waren in PAM (Pluggable Authentication Modules) und OpenSSH eingebettet – beides sind Komponenten, die auf praktisch jedem Linux-System zentrale Authentifizierungsfunktionen steuern. Da diese Systeme von Betriebssystemen und Administratoren als Vertrauensgrundlage behandelt werden, entzogen sie sich typischerweise der Überwachung und Bereinigung, die normalerweise auf Benutzer-Ebene oder in Anwendungsschichten stattfindet.
Die Wahl dieses Zugriffsvektors zeigt ein Verständnis für die Architektur von Enterprise-Infrastrukturen: Defender konzentrieren ihre Aufmerksamkeit häufig auf Arbeitsplätze, Server und Anwendungen, während Kernel-nahe oder System-privilegierte Komponenten weniger häufig mit dem gleichen Unbehagen betrachtet werden. Ein Zugang auf dieser Ebene ermöglicht dem Angreifer, sich bei nahezu jedem Login zu authentifizieren und damit jede Form von Anmeldeversuchen unabhängig von Berechtigungen zu überschreiben.
Quelle: thehackernews.com · Erschienen 12. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.