Operation Highland: Der unsichtbare Feind im Linux-Anmeldesystem

Wie die Hintertür funktionierte

Anstatt benutzerdefinierte Schadsoftware zu verwenden, die von Dateiscannern oder Endpoint Detection-Systemen früher oder später erkannt werden könnte, untergrub Velvet Ant die Vertrauensarchitektur des Betriebssystems selbst. Auf Dutzenden von Hosts ersetzte die Gruppe systematisch zentrale Linux-Authentifizierungskomponenten – insbesondere das PAM-Modul pam_unix.so (Pluggable Authentication Module) und mehrere OpenSSH-Binärdateien – durch trojanisierte Versionen .

Dieser Austausch bot mit einem einzigen Implantat zwei Fähigkeiten:

1. Master-Passwort-Umgehung. Die manipulierten Module enthielten ein fest einprogrammiertes Geheimpasswort. Jedes Benutzerkonto konnte allein mit diesem Passwort geöffnet werden, unter vollständiger Umgehung der normalen Authentifizierung. Selbst wenn Administratoren sämtliche Benutzerdaten änderten, konnten die Angreifer durch die Vordertür spazieren .
2. Stilles Abschöpfen von Anmeldedaten. Jedes legitime Login-Ereignis wurde in Echtzeit abgefangen. Die Klartext-Passwörter aller sich authentifizierenden Benutzer wurden in eine versteckte Datei unter /usr/share/awk/nullfile.awk geschrieben. So konnte Velvet Ant gültige Anmeldedaten der gesamten Benutzerbasis sammeln, ohne zusätzliche Aktivitäten im Netzwerk, die Alarm schlagen würden .

Warum die Standardbereinigung versagte

Die üblichen Lehrbücher für die Reaktion auf Vorfälle sind nicht für einen Gegner ausgelegt, der die Login-Programme Ihres Betriebssystems neu kompiliert hat. Der Bericht von Sygnia macht deutlich, warum die ersten mehreren Bereinigungsversuche allesamt fehlschlugen:

• Bereinigungslücke. Der Standard-Workflow – verdächtige Dateien löschen, schädliche Prozesse beenden, alle Passwörter ändern – hatte keinerlei Auswirkung auf den primären Persistenzmechanismus des Angreifers. Die trojanisierten pam_unix.so- und SSH-Binärdateien waren in jeder Hinsicht legitime Systemdateien, abgesehen von ihrer kompilierten Logik .
• Tarnung der Metadaten. Die Angreifer hatten die originalen Dateinamen, Pfade, Zeitstempel und annähernd die gleichen Dateigrößen bewahrt. Jede Dateiintegritätsprüfung, die sich nur auf Datei-Metadaten verließ – in vielen Unternehmensumgebungen gängige Praxis – sah keinerlei Unregelmäßigkeiten .
• Passwort-Änderungen zwecklos. Da das hartcodierte Master-Passwort im Inneren des Authentifizierungsmoduls selbst steckte, änderte das Zurücksetzen der Benutzerdaten nichts daran, den Gegner auszusperren .
• Selbstheilendes Design. Die während der Untersuchung gesammelten Beweise deuteten darauf hin, dass die Hintertür so konzipiert war, dass sie eine teilweise Behebung überstehen konnte. Bereinigte das Sicherheitsteam mehrere Hosts, wurde aber der Authentifizierungs-Stack auf anderen Systemen weiterhin kompromittiert, konnte sich die Gruppe erneut lateral bewegen und die neu aufgebauten Maschinen wieder infizieren .

Der endgültige Behebungsschritt von Sygnia war unmissverständlich: Das Netzwerk erforderte einen vollständigen Neuaufbau jedes betroffenen Hosts von einem geprüften, schreibgeschützten Medium aus. Das selektive Löschen von Dateien oder eine teilweise Neuinstallation des Systemabbilds reichte nicht aus .

Das Muster der Vorgehensweise (Tradecraft)

Der Erfolg von Velvet Ant beruht nicht auf exotischen Angriffsketten. Stattdessen zeigt die Gruppe ein ausgereiftes operatives Konzept, das auf Geduld und Tarnung auf der Authentifizierungsebene basiert.

Zuordnung und ähnliche Aktivitäten

Sygnia ordnet die Operation Highland mit hoher Sicherheit der Gruppe Velvet Ant zu und verknüpft sie mit staatlich geförderter Spionage aus China . Die Gruppe konzentriert sich auf große Organisationen in Ostasien, insbesondere auf Telekommunikationsanbieter und kritische Infrastrukturen .

Frühere und parallele Kampagnen liefern zusätzlichen Kontext. In einem anderen Fall nutzte Velvet Ant veraltete F5 BIG-IP-Appliances mindestens drei Jahre lang als Command-and-Control (C2)-Proxys, bevor die Untersuchung von Sygnia die Aktivität aufdeckte . Die Gruppe wurde auch beim Einsatz von PlugX- und ShadowPad-Malware während früherer Einbrüche beobachtet, was auf ein breites Toolkit hindeutet, das sowohl individuelle als auch öffentlich verfügbare Fähigkeiten umfasst .

Was Verteidiger jetzt tun sollten

Die wichtigste Lehre für die Verteidigung aus der Operation Highland ist, dass traditioneller Endgeräteschutz und die Änderung von Anmeldedaten nicht ausreichen, wenn der Authentifizierungs-Stack selbst nicht vertrauenswürdig ist.

Verteidiger sollten der Dateiintegritätsprüfung Priorität einräumen, die kryptografische Hashes kritischer Systembinärdateien – einschließlich /lib/security/pam_unix.so und SSH-Daemon-Binärdateien – mit einem geprüften Soll-Zustand vergleicht und nicht nur mit Datei-Metadaten. Das zentrale Protokollieren aller Authentifizierungsereignisse auf einem unveränderlichen, externen System ist ebenfalls entscheidend, da ein Angreifer mit ausreichenden Zugriffsrechten die Logs auf dem Host manipulieren kann. Multi-Faktor-Authentifizierung bleibt eine wertvolle Barriere, schützt aber nicht direkt vor einem manipulierten PAM-Dienst, der die Authentifizierungsprüfungen vollständig umgeht.

Die Operation Highland zeigt, dass die gefährlichste Persistenz am wenigsten wie Malware aussieht – sie sieht aus wie der Login-Prompt, dem Sie jeden Tag vertrauen.