Auf den Punkt: Eine China-verbundene Hackergruppe operierte fast ein Jahrzehnt lang undetektiert durch Backdoors in Linux-Authentifizierungskomponenten, wo standardisierte Sicherheitstools nicht hinschauen.
Eine dem chinesischen Umfeld zugeordnete Hackergruppe hat etwa neun Jahre lang ungerkannt in den Linux-Authentifizierungskomponenten PAM und OpenSSH operiert. Sygnia bezeichnet die Gruppe als Velvet Ant und dokumentiert, wie Angreifer an kritischen Stellen des Login-Systems Zugriff hinterlegten, die normalerweise nicht durch Sicherheitsbereinigungen erreicht werden.
Die Angreifer modifizierten PAM (Pluggable Authentication Modules) und OpenSSH – die zentralen Komponenten, die unter Linux über Authentifizierung und Zugriffskontrolle entscheiden. Diese Platzierung ermöglichte es dem Velvet-Ant-Kollektiv, Login-Mechanismen zu umgehen und persistente Zugänge aufrechtzuerhalten, ohne sich in Anwendungsebenen- oder Dateisystem-Artefakten zu manifestieren, die typische forensische Untersuchungen erfassen würden.
Diese Strategie verdeutlicht eine operative Veränderung: Anstatt auf Benutzer-Endgeräten oder Standard-Serveroberflächen Fuß zu fassen – Ziele, die Sicherheitsteams mit erhöhter Aufmerksamkeit überwachen – verlagerten die Angreifer ihre Infrastruktur in das Authentifizierungssystem selbst. Ein Netzwerk, das von dieser Kampagne betroffen war, wies zunächst kein spezialisiertes Monitoring für diese Schicht auf.
Für CISOs und IR-Teams ist diese Erkenntnis kritisch: Sie unterstreicht die Notwendigkeit, Basis-Authentifizierungskomponenten wie PAM und OpenSSH nicht nur auf Patch-Status zu überwachen, sondern auch auf Integritätsveränderungen zu prüfen. Die neunjährige Betriebsdauer zeigt, dass eine reine Endpunkt-Fokussierung blind für Eindringungen auf Systemebene bleibt. Regelmäßige kryptografische Hashverifikationen dieser Komponenten, erhöhte Log-Aggregation bei Authentifizierungsvorgängen sowie Hintergrund-Prozessüberwachung werden erforderlich.
Quelle: thehackernews.com · Erschienen 12. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.