Operation Highland: Chinesische Hacker zehn Jahre in kritischer Infrastruktur
13.06.2026 - 20:48:01 | boerse-global.de
Chinesische Angreifer konnten sich ein Jahrzehnt lang in isolierten Netzwerken kritischer Infrastrukturen verstecken – indem sie die eigenen Sicherheitsmodule der Systeme in Spionagewerkzeuge umwandelten.
Angriffe auf Linux-Server und Infrastrukturen zeigen, wie wichtig tiefgreifendes Systemwissen für die Sicherheit ist. Mit diesem kostenlosen Linux-Startpaket inklusive Ubuntu-Vollversion lernen Sie, wie Sie ein stabiles und sicheres System professionell aufsetzen. Linux Startpaket mit Ubuntu jetzt kostenlos sichern
Authentifizierung als Einfallstor
Die als "Velvet Ant" bezeichnete Hackergruppe begann ihre Angriffe bereits 2016, wie die Sicherheitsfirma Sygnia aufdeckte. Ihr Ziel: Pluggable Authentication Modules (PAM) und OpenSSH-Komponenten in Linux-Umgebungen. Mit neun verschiedenen Varianten manipulierte PAM-Module gelang es den Angreifern, Benutzerdaten abzugreifen und Systembefehle heimlich zu protokollieren.
Der Clou: Die Hacker umgingen klassische Erkennungsmethoden, die auf ungewöhnlichen Netzwerkverkehr oder unerlaubte Dateiänderungen achten. Stattdessen nutzten sie die Authentifizierung selbst als Deckmantel.
Überbrückung der digitalen Isolation
Besonders brisant: Die Angriffe zielten auf sogenannte Air-Gapped-Systeme – Netzwerke, die eigentlich keine Verbindung zum offenen Internet haben. Velvet Ant nutzte manipulierte Nginx- und FastCGI-Konfigurationen auf internetfähigen Systemen als Brückenköpfe, um in die geschützten internen Netzwerke vorzudringen.
Die heikle Bereinigung
Die Entdeckung des jahrelangen Eindringlings stellte die Sicherheitsteams vor ein Dilemma. Da die Hintertüren direkt in den Authentifizierungsablauf integriert waren, drohte beim simplen Entfernen des Schadcodes der Totalausfall des gesamten Zugangssystems. Die Sicherheitsforscher mussten eine eigene Testumgebung aufbauen, um die Bereinigung zu simulieren, bevor sie die Änderungen im Live-Betrieb umsetzen konnten.
Warum setzen 85% der Top-Supercomputer auf Linux? Weil das System bei richtiger Konfiguration unschlagbare Vorteile in Sachen Transparenz und Stabilität bietet. Entdecken Sie im kostenlosen Startpaket, wie Sie die Vorzüge von Ubuntu für Ihre eigenen Projekte sofort testen können. Vorteile von Ubuntu jetzt risikofrei testen
Parallelkampagne gegen Linux-Werkzeuge
Unabhängig davon entdeckten die Experten von Elastic Security Labs eine weitere, als REF6138 bezeichnete Kampagne. Diese zielt auf die Linux-Lieferkette ab: Die Angreifer kompromittierten Build-Prozesse, um Hintertüren in weit verbreitete Dienstprogramme wie curl, sudo und sshd einzuschleusen.
Betroffen sind nach Erkenntnissen der Forscher vor allem Telekommunikations- und Regierungsnetzwerke in Asien und Europa. Die Attacken konzentrierten sich auf Systeme mit CentOS und Fedora. Durch die Kompromittierung bereits in der Build-Phase konnten die Angreifer sicherstellen, dass ihre Hintertüren auf jedes System gelangen, das die manipulierten Softwareversionen nutzt.
