Velvet Ant: Angreifer kontrollierten Authentifizierung über Jahre

Der Sicherheitsdienstleister Sygnia hat eine langjährige Spionageoperation beschrieben, bei der die Gruppe Velvet Ant tief in die Authentifizierung eines isolierten Netzwerks eingegriffen haben soll. Nach Darstellung der Forscher reichten die frühesten Spuren der Kampagne bis 2016 zurück. BleepingComputer berichtete am 13. Juni 2026 über die Analyse und ordnet den Fall als besonders kritisch ein, weil nicht nur einzelne Server, sondern zentrale Anmeldekomponenten wie PAM und OpenSSH manipuliert wurden.

Die Schwachstelle / Was ist passiert

Sygnia nennt die Untersuchung „Operation Highland“. Die Angreifer sollen zunächst internetnahe Systeme kompromittiert und darüber einen Pfad in ein eigentlich abgeschottetes Segment aufgebaut haben. Dafür wurden unter anderem Nginx-Konfigurationen, FastCGI-Komponenten und ein eigenes Werkzeug genutzt, das SSH-Verbindungen in das interne Netz auslösen konnte. Der entscheidende Punkt liegt jedoch tiefer: Laut Sygnia wurden PAM-Module und OpenSSH-Binaries ersetzt, um Anmeldungen mitzulesen, Zugangsdaten abzugreifen und reguläre Authentifizierung zu umgehen.

Das macht den Vorfall für Administratoren so relevant. Wenn ein Angreifer nur eine Webanwendung kontrolliert, lässt sich der Schaden oft durch Neuinstallation und Schlüsselwechsel eingrenzen. Wird dagegen die Login-Schicht selbst verändert, greifen viele klassische Maßnahmen zu kurz. Passwortwechsel, Sitzungsbeendigung und einzelne Host-Isolation können wirkungslos bleiben, solange die manipulierten Bibliotheken oder SSH-Komponenten weiter aktiv sind.

Bin ich betroffen?

Sygnia nennt keinen allgemein ausnutzbaren CVE-Eintrag und keine öffentlich breit ausgenutzte Produktlücke. Betroffen sind daher nicht alle Linux- oder OpenSSH-Installationen pauschal. Relevanz hat der Fall für Organisationen mit kritischen Segmenten, Linux-Servern, internetnahen Jump- oder Proxy-Systemen und Umgebungen, in denen PAM, OpenSSH, Nginx oder FastCGI auf ungewöhnliche Weise zusammenspielen.

Prüfenswert sind unerklärliche Änderungen an PAM-Modulen, OpenSSH-Binaries, systemd-Diensten, Nginx-Weiterleitungen und versteckten Dateien in systemnahen Pfaden. Administratoren sollten Dateiintegrität, Paketprüfsummen und bekannte gute Images vergleichen. Besonders ernst zu nehmen sind Abweichungen an pam_unix.so, sshd, ssh und scp, wenn diese nicht durch reguläre Updates erklärbar sind.

Wie behebe ich das?

Sygnia beschreibt die Bereinigung als komplex, weil das Entfernen manipulierten Codes legitime Administratoren aussperren kann. Unternehmen sollten deshalb nicht nur Dateien löschen, sondern ein abgestimmtes Wiederherstellungskonzept nutzen: forensische Sicherung, Vergleich mit vertrauenswürdigen Paketquellen, Wiederaufbau aus geprüften Images und Rotation aller Zugangsdaten nach der Bereinigung. Immutable Backups, Offline-Recovery und getestete Wiederanlaufpläne sind in solchen Fällen wichtiger als eine schnelle Einzelkorrektur.

Als Prävention empfiehlt sich Dateiintegritätsüberwachung für Authentifizierungskomponenten, strikte Härtung privilegierter Zugänge, MFA für Administrationspfade, EDR-Abdeckung auf Linux-Systemen und Monitoring für unerwartete Änderungen an systemd-Units, PAM-Konfigurationen und SSH-Binaries.

Was bedeutet das für Unternehmen?

Der Fall zeigt, dass segmentierte oder nicht direkt erreichbare Netzwerke nicht automatisch sicher sind. Wenn ein Angreifer Brückensysteme kontrolliert, können auch isolierte Bereiche mittelbar erreichbar werden. Für Unternehmen im DACH-Raum ist die wichtigste Lehre: Identität, Administrationspfade und Wiederherstellung müssen als zusammenhängendes Schutzgut betrachtet werden. Wer nur Perimeter und Schwachstellen patcht, übersieht möglicherweise die Ebene, auf der Angreifer dauerhaft bleiben.

Quellen: https://www.sygnia.co/blog/operation-highland-velvet-ant/ und https://www.bleepingcomputer.com/news/security/chinese-hackers-hijack-auth-flow-spy-on-isolated-network-for-a-decade/