Cyber-Spionage auf Hypervisor-Ebene: VMware- und Netzwerk-Infrastrukturen unter Attacke
Das Cybersecurity-Unternehmen Sygnia warnt in einem aktuellen Bericht vor einer gezielten Angriffskampagne der Bedrohungsgruppe Fire Ant, die sich auf Virtualisierungssysteme wie VMware ESXi und vCenter sowie auf Netzwerkgeräte spezialisiert hat. Die Angriffe zeigen eine neue Eskalationsstufe in puncto Persistenz, Tarnung und Ausnutzung von Schwachstellen in hypervisor-nahen Systemen.
Fire Ant setzt laut Sygnia auf eine Kombination aus mehrstufigen und raffinierten Angriffsmethoden, um selbst abgeschottete oder streng segmentierte Netzbereiche zu infiltrieren. Besonders im Fokus stehen VMware-Umgebungen wie ESXi-Hosts, vCenter-Server und F5-Load-Balancer.
Die Gruppe agiert dabei äußerst anpassungsfähig und hartnäckig: Auch nach Abwehr- und Reinigungsmaßnahmen gelingt es ihr immer wieder, den Zugang zurückzuerlangen – etwa durch hinterlegte Hintertüren (Backdoors) oder gezielt veränderte Netzwerkeinstellungen, mit denen sie sich im System festsetzt.
Sygnia ordnet Fire Ant einem bekannten Angriffscluster rund um UNC3886 zu – eine seit Jahren aktive, vermutlich staatlich unterstützte chinesische Cyber-Spionageeinheit, die sich auf die Infiltration von Edge-Geräten und Virtualisierungsumgebungen spezialisiert hat. Es gibt klare Überschneidungen in der eingesetzten Schadsoftware und den Zielsystemen.
Ausnutzung kritischer VMware-Schwachstellen
Die Angreifer nutzen unter anderem die Sicherheitslücke CVE-2023-34048 in VMware vCenter aus, die bereits lange vor der offiziellen Sicherheitsaktualisierung durch Broadcom im Oktober 2023 als sogenannter Zero-Day von der Gruppe UNC3886 verwendet wurde.
Nach dem erfolgreichen Eindringen in das System stehlen die Angreifer die Zugangsdaten des internen vCenter-Servicekontos „vpxuser“. Mit diesen Daten weiten sie ihren Zugriff auf angebundene ESXi-Hosts aus. Dort richten sie dauerhafte Hintertüren (Backdoors) ein, die sich anhand ihrer Namen und Merkmale der VIRTUALPITA-Malwarefamilie zuordnen lassen.
Zusätzlich bringen sie ein Python-basiertes Schadprogramm mit dem Namen „autobackup.bin“ auf den Systemen unter. Dieses läuft unauffällig im Hintergrund als Daemon-Prozess und ermöglicht ihnen, aus der Ferne Befehle auszuführen sowie Dateien hoch- und herunterzuladen.
Angriff auf die Gastbetriebssysteme
Nachdem Fire Ant Zugriff auf die Hypervisor-Ebene erlangt hat, nutzt die Gruppe auch die Sicherheitslücke CVE-2023-20867 in VMware Tools, um von dort aus gezielt auf virtuelle Gastsysteme zuzugreifen. Mithilfe von PowerCLI, einem Automatisierungswerkzeug von VMware, können die Angreifer direkt mit den Gastsystemen kommunizieren – ohne dabei herkömmliche Sicherheitsgrenzen zu überschreiten.
Dabei manipulieren sie gezielt Sicherheitslösungen, um sich unentdeckt zu bewegen. Außerdem lesen sie Zugangsdaten aus Speicherabbildern (Memory-Dumps) aus und greifen sogar Domänencontroller an, um die Kontrolle über das gesamte Netzwerk zu erlangen.
Einige weitere zentrale Methoden, die die Angreifergruppe einsetzt, sind:
- Einschleusen des V2Ray-Frameworks, um den Datenverkehr aus kompromittierten virtuellen Maschinen zu tunneln und zu verschleiern
- Direktes Bereitstellen nicht registrierter virtueller Maschinen auf mehreren ESXi-Hosts, um sich der Erkennung zu entziehen
- Aufbrechen von Netzsegmentierungen durch Ausnutzen der Schwachstelle CVE-2022-1388 in F5-Load-Balancern – und Aufbau dauerhafter Zugänge über mehrere Segmente hinweg durch das Platzieren von Webshells
- Widerstand gegen Incident-Response-Maßnahmen, etwa durch erneute Kompromittierung bereits bereinigter Systeme – teils auch durch Umbenennung eigener Schadsoftware, um sie als legitime Forensik-Werkzeuge zu tarnen
Einblick in die Strategie: Hypervisor statt Endpunkt
Die Angriffe zeigen, wie stark Hypervisor- und Infrastrukturkomponenten in modernen Unternehmen gefährdet sind – und wie unzureichend diese Systeme oft in klassische Sicherheits- und Überwachungslösungen eingebunden sind. Sygnia betont: „Diese Systeme erzeugen nur geringe Telemetriedaten, besitzen kaum integrierte Erkennungsmechanismen und eignen sich daher perfekt als versteckter Zugangspunkt für langfristige Spionageoperationen.“
Die Entwicklung folgt nur eine Woche, nachdem Singapur öffentlich die chinesische Hackergruppe UNC3886 für Cyberangriffe auf die kritische nationale Infrastruktur des Landes verantwortlich gemacht hat. Weitere Details nannte die Regierung bislang nicht.
„UNC3886 stellt eine ernsthafte Bedrohung für uns dar und hat das Potenzial, unsere nationale Sicherheit zu gefährden“, sagte der Koordinierungsminister für nationale Sicherheit, K. Shanmugam, in einer Rede. „Die Gruppe zielt auf strategisch wichtige Assets und auf lebenswichtige Infrastrukturen, die zentrale Dienste für die Bevölkerung bereitstellen.“
Die chinesische Botschaft in Singapur wies die Vorwürfe in einem Facebook-Post als „haltlose Verleumdungen und Anschuldigungen“ zurück. Sie verwies darauf, dass die Informationssysteme der 9. Asiatischen Winterspiele im Februar dieses Jahres mehr als 270.000 Cyberangriffen aus dem Ausland ausgesetzt gewesen seien.
Yoav Mazor, Leiter der Incident-Response-Abteilung bei Sygnia, ergänzte: „Im Lichte der aktuellen Aussagen des singapurischen Sicherheitsministers lässt sich sagen, dass die Aktivitäten der Gruppe nicht nur ein regionales Risiko für Singapur und den asiatisch-pazifischen Raum darstellen, sondern weltweit kritische Infrastrukturen gefährden.“
Fazit
Die Fire-Ant-Kampagne steht exemplarisch für eine neue Angriffsdimension im Bereich Cyber-Spionage: weg vom klassischen Endpunkt, hin zur Virtualisierungsebene und Netzwerkinfrastruktur. Unternehmen sollten besonders ESXi-Hosts, vCenter-Systeme und Edge-Geräte wie Load-Balancer in ihre Sicherheitsstrategien einbeziehen – und Schwachstellen dort genauso kritisch behandeln wie in Windows oder Linux selbst.