Hacker blieben fast zehn Jahre unentdeckt
Ein aktueller Fall zeigt, wie gefährlich Angriffe auf scheinbar geschützte IT-Umgebungen werden können. Laut einer Analyse des Cybersecurity-Unternehmens Sygnia verschaffte sich die mutmaßlich China-nahe Gruppe Velvet Ant Zugriff auf das interne Netzwerk einer großen Organisation und blieb dort über Jahre unentdeckt. Die frühesten forensischen Spuren reichen bis ins Jahr 2016 zurück.
Besonders relevant für IT-Entscheider: Das betroffene Netzwerk war nicht direkt aus dem Internet erreichbar. Die Angreifer nutzten stattdessen kompromittierte internetseitige Systeme, um sich Schritt für Schritt in die interne Umgebung vorzuarbeiten.
Vertrauenswürdige Systeme als Einfallstor
Nach Angaben von Sygnia zielte Velvet Ant nicht nur auf einzelne Server oder klassische Malware-Persistenz. Die Gruppe manipulierte zentrale Linux-Komponenten, die für Anmeldung und Fernzugriff genutzt werden. Dazu gehörten PAM-Module sowie OpenSSH-Bestandteile.
Damit griffen die Angreifer an einer besonders kritischen Stelle an: der Authentifizierung selbst. Wer diese Schicht kontrolliert, kann Anmeldedaten abgreifen, Zugriffe verschleiern und unter Umständen auch dann im Netzwerk bleiben, wenn Passwörter geändert oder einzelne Sessions beendet werden.
Warum klassische Maßnahmen nicht reichen
Der Fall macht deutlich, dass Segmentierung und abgeschottete Netzbereiche allein keine vollständige Sicherheit bieten. Sie reduzieren Angriffsflächen, verhindern aber nicht automatisch, dass kompromittierte Systeme als Brücke in interne Umgebungen genutzt werden.
Erschwerend kommt hinzu: Wenn legitime Systemkomponenten manipuliert werden, fallen Angriffe nicht zwangsläufig durch typische Malware-Signaturen auf. Für Sicherheitsteams wird es dadurch deutlich schwieriger, verdächtige Aktivitäten zuverlässig zu erkennen.
Was Unternehmen daraus lernen sollten
Für Unternehmen im B2B-Umfeld ist der Fall ein klares Warnsignal. Kritische Infrastrukturkomponenten, Netzwerkgeräte und Authentifizierungsdienste müssen stärker in Monitoring, Integritätsprüfung und Incident-Response-Prozesse eingebunden werden.
Dazu gehört insbesondere, zentrale Login-Komponenten wie PAM und OpenSSH regelmäßig gegen bekannte, vertrauenswürdige Versionen zu prüfen. Auch internetseitig erreichbare Systeme sollten nicht isoliert betrachtet werden, sondern als mögliche Sprungpunkte in interne Netzwerke.
Der Fall zeigt: Moderne Angriffe umgehen nicht nur Sicherheitsmechanismen. Sie können versuchen, das Vertrauen in diese Mechanismen selbst zu übernehmen.
Das muss man gelesen haben?
Behalten Sie ihr Wissen nicht für sich und teilen Sie diesen Beitrag.