Highlight
China-Hacker hatten zehn Jahre Zugang zu abgeschottetem Netzwerk
Sicherheitsforscher haben eine außergewöhnlich lang andauernde Spionagekampagne aufgedeckt: Eine mutmaßlich chinesische Hackergruppe soll über einen Zeitraum von zehn Jahren Zugang zu einem abgeschotteten Netzwerk gehabt haben.
Besonders bemerkenswert war die Vorgehensweise der Angreifer beim Aufbau eines verdeckten Zugangswegs. Durch gezielte Manipulationen an Webservern und deren Konfigurationen schufen sie eine Kette von Weiterleitungen, über die Befehle letztlich in das abgeschottete Netzwerk eingeschleust werden konnten. Eine direkte Verbindung zu den geschützten Systemen war dafür nicht erforderlich.
Nachdem der Zugang etabliert war, konzentrierten sich die Angreifer auf die langfristige Absicherung ihrer Präsenz. Dazu manipulierten sie zentrale Komponenten der Benutzeranmeldung unter Linux. Unter anderem wurden Authentifizierungs- und Fernzugriffsdienste durch präparierte Versionen ersetzt, die Zugangsdaten abfangen und zusätzliche Hintertüren bereitstellen konnten.
Die Bereinigung des Vorfalls erwies sich laut Sygnia als besonders schwierig. Da zahlreiche kritische Systemkomponenten ausgetauscht worden waren, bestand die Gefahr, durch eine unbedachte Entfernung der Schadsoftware legitime Administratoren auszusperren oder Betriebsstörungen auszulösen. Die Experten richteten deshalb zunächst eine Testumgebung ein, um die Wiederherstellung sicher vorzubereiten.
Als Konsequenz empfehlen die Forscher Unternehmen, Authentifizierungssysteme besonders zu schützen, Änderungen an sicherheitskritischen Dateien kontinuierlich zu überwachen und belastbare Offline-Backups für den Ernstfall vorzuhalten.
Siehe auch:
Geschickte Zugriffskette
Die Operation, die von den Forschern des Sicherheitsunternehmens Sygnia unter dem Namen "Operation Highland" dokumentiert wurde, wird der Spionagegruppe "Velvet Ant" zugeschrieben. Den Angaben zufolge begann der Angriff bereits im Jahr 2016. Zunächst verschafften sich die Angreifer Zugang über verwundbare, direkt mit dem Internet verbundene Systeme. Von dort aus gelang es ihnen, schrittweise in ein isoliertes Netzwerk vorzudringen, das keine direkte Verbindung zum Internet besaß.Besonders bemerkenswert war die Vorgehensweise der Angreifer beim Aufbau eines verdeckten Zugangswegs. Durch gezielte Manipulationen an Webservern und deren Konfigurationen schufen sie eine Kette von Weiterleitungen, über die Befehle letztlich in das abgeschottete Netzwerk eingeschleust werden konnten. Eine direkte Verbindung zu den geschützten Systemen war dafür nicht erforderlich.
Nachdem der Zugang etabliert war, konzentrierten sich die Angreifer auf die langfristige Absicherung ihrer Präsenz. Dazu manipulierten sie zentrale Komponenten der Benutzeranmeldung unter Linux. Unter anderem wurden Authentifizierungs- und Fernzugriffsdienste durch präparierte Versionen ersetzt, die Zugangsdaten abfangen und zusätzliche Hintertüren bereitstellen konnten.
Schwierige Abschaltung
Nach Angaben der Sicherheitsexperten erhielten die Angreifer dadurch nahezu vollständige Transparenz über die Aktivitäten von Administratoren. Jede Anmeldung und jeder über kompromittierte Systeme ausgeführte Befehl konnte überwacht werden. Selbst Passwortänderungen oder das Beenden einzelner Sitzungen hätten die Angreifer kaum beeinträchtigt, da ihre Kontrolle tief in den Authentifizierungsprozess eingebettet gewesen sei.Die Bereinigung des Vorfalls erwies sich laut Sygnia als besonders schwierig. Da zahlreiche kritische Systemkomponenten ausgetauscht worden waren, bestand die Gefahr, durch eine unbedachte Entfernung der Schadsoftware legitime Administratoren auszusperren oder Betriebsstörungen auszulösen. Die Experten richteten deshalb zunächst eine Testumgebung ein, um die Wiederherstellung sicher vorzubereiten.
Als Konsequenz empfehlen die Forscher Unternehmen, Authentifizierungssysteme besonders zu schützen, Änderungen an sicherheitskritischen Dateien kontinuierlich zu überwachen und belastbare Offline-Backups für den Ernstfall vorzuhalten.
Zusammenfassung
- Chinesische Hackergruppe "Velvet Ant" soll zehn Jahre lang ein abgeschottetes Netzwerk ausspioniert haben
- Sygnia dokumentierte die Spionagekampagne unter dem Namen "Operation Highland" seit dem Jahr 2016
- Angreifer nutzten manipulierte Webserver, um Befehle in das isolierte Netzwerk einzuschleusen
- Sie ersetzten Authentifizierungs- und Fernzugriffsdienste durch präparierte Versionen mit Hintertüren
- Dadurch erlangten sie vollständige Transparenz über alle Aktivitäten der Administratoren
- Die Bereinigung erwies sich als schwierig, da kritische Systeme ausgetauscht worden waren
- Sygnia empfiehlt, Authentifizierungssysteme zu schützen und Offline-Backups bereitzuhalten
Siehe auch:
Thema:
Neueste Downloads
Neue Nachrichten
Beliebte Nachrichten
Videos
Christian Kahle
Redakteur bei WinFuture
Ich empfehle ...
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen