Operation Highland: Chinesische Hacker zehn Jahre in kritischen Netzen
13.06.2026 - 23:55:44 | boerse-global.de
Eine chinesische Hackergruppe namens Velvet Ant blieb über ein Jahrzehnt unentdeckt in isolierten Netzwerken kritischer Infrastruktur. Die Operation Highland gilt als einer der ausgeklügeltsten Spionagefälle der letzten Jahre.
Die Angreifer schafften es, von 2016 bis Anfang 2026 in hochgesicherten Systemen zu lauern. Ihr Ziel: die totale Kontrolle über abgeschottete Netzwerkumgebungen – sogenannte Air-Gapped-Systeme, die eigentlich als uneinnehmbar gelten. Sicherheitsexperten der Firma Sygnia deckten die Kampagne auf und sprechen von einer neuen Dimension digitaler Bedrohung.
Wie die Eindringlinge die Firewall umgingen
Anzeige: Die Operation Highland zeigt: Selbst Air-Gapped-Systeme sind nicht sicher, wenn Angreifer die Authentifizierungsinfrastruktur kontrollieren. Dieser Report liefert eine Checkliste zur Erkennung von PAM-Manipulationen und einen Bereinigungsplan für kompromittierte Legacy-Komponenten. Jetzt Sicherheits-Report anfordern
Der Angriff folgte einem präzisen Plan. Zunächst infiltrierten die Hacker internetfähige Server. Von dort aus arbeiteten sie sich Schritt für Schritt in die isolierten Bereiche der Netzwerke vor. Entscheidend war der Trick, Nginx- und FastCGI-Konfigurationen zu manipulieren – Komponenten, die normalerweise den Datenverkehr steuern.
Um die Lücke ins abgeschottete System zu schlagen, setzte Velvet Ant auf SOCKS5-Proxys und eine speziell angepasste Version des Netzwerk-Tools GS-Netcat. Statt auf klassische Schadsoftware zu setzen, konzentrierten sich die Angreifer auf eine neue Taktik: den Diebstahl von Zugangsdaten. „Das ist ein klarer Wandel hin zu identitätsbasierten Angriffen", erklären Branchenkenner.
Die Achillesferse: Authentifizierung als Einfallstor
Das Herzstück der Spionage war die Manipulation der Authentifizierungsmechanismen. Die Forscher entdeckten neun verschiedene Varianten manipulierte Pluggable Authentication Modules (PAM) – Systemkomponenten, die bei der Anmeldung von Nutzern zum Einsatz kommen. Mit diesen Hintertüren konnten die Hacker Passwörter abgreifen und sich dauerhaft Zugang verschaffen.
Doch damit nicht genug: Velvet Ant installierte auch präparierte Versionen von OpenSSH-Komponenten wie ssh, sshd und scp. Diese Werkzeuge gehören zur Grundausstattung jedes Servers. Wer sie kontrolliert, kann Überwachungs- und Wartungsaktivitäten unbemerkt verfolgen.
Anzeige: Passwort-Reset wirkungslos? Wenn Angreifer Ihre PAM- und SSH-Komponenten kontrollieren, hilft nur eine vollständige Identifikation und der Austausch aller manipulierten Systemteile. Unser Leitfaden zeigt, wie Sie neun Varianten von PAM-Hintertüren erkennen und Ihre Netzwerke dauerhaft säubern. Bereinigungs-Leitfaden jetzt sichern
Das große Aufräumen: Warum Passwort-Reset nicht half
Die tiefe Verwurzelung der Angreifer in den Betriebssystemen machte die Bereinigung zur Herkulesaufgabe. Ein einfacher Passwort-Reset, wie er bei normalen Sicherheitsvorfällen empfohlen wird, zeigte keine Wirkung. Der Grund: Die Hacker kontrollierten die gesamte Authentifizierungsinfrastruktur.
Die vollständige Wiederherstellung erforderte die Identifizierung und den Austausch zahlreicher kompromittierter Legacy-Komponenten. Operation Highland zeigt eindrucksvoll, wie verwundbar selbst die bestgeschützten Systeme sein können – und wie lange ein Angreifer unentdeckt bleiben kann, wenn er die richtigen Hebel in der Hand hält.
