Sygnia zufolge ersetzte Velvet Ant auf vielen Systemen das zentrale PAM-Anmeldemodul durch manipulierte Kopien. Einige dieser Versionen erlaubten den Zugriff über ein geheimes Passwort, andere zeichneten bei regulären Anmeldungen still Benutzerkennungen und Passwörter auf. Die Forscher fanden dabei neun verschiedene Varianten.

Auch OpenSSH wurde laut dem Bericht auf ähnliche Weise verändert. Die manipulierten Programme protokollierten Zugangsdaten und jeden eingegebenen Befehl. Zusätzlich entdeckten die Forscher einen versteckten Schalter, mit dem sich diese Protokollierung bei Bedarf abschalten ließ.

Der Zugang zu dem isolierten Netzwerk erforderte nach Darstellung von Sygnia zusätzlichen Aufwand. Die Angreifer setzten weitere getarnte Werkzeuge ein und missbrauchten einen internetseitig erreichbaren Webserver als Brücke. Über diesen leiteten sie Befehle weiter, um entfernte Sitzungen tief in dem Segment ohne direkten Internetzugang zu öffnen.

Weil die Anmeldeschicht selbst kompromittiert war, griffen übliche Eindämmungsmaßnahmen laut Sygnia kaum. Passwortzurücksetzungen und das Beenden aktiver Sitzungen helfen in einem solchen Fall nicht, wenn ausgerechnet die Komponente zur Prüfung dieser Zugangsdaten unter Kontrolle des Angreifers steht.

Sygnia stellt den Fall in einen größeren Zusammenhang. Schon in einem Fall aus dem Jahr 2024 habe derselbe Akteur internetseitig erreichbare F5 BIG-IP-Appliances in interne Befehlsserver verwandelt. Später in jenem Jahr meldete das Unternehmen zudem, dass die Gruppe eine Schwachstelle in Cisco NX-OS mit der Kennung CVE-2024-20399 ausnutzte, um auf Switches eine Backdoor zu platzieren.

Diese Cisco-Schwachstelle setzt laut dem Bericht jedoch bereits Administratorzugriff voraus und eignet sich damit zur Persistenz, nicht für einen entfernten Erstzugang. Cisco stellte im Juli 2024 ein Update bereit, und CISA kennzeichnete die Lücke bereits am nächsten Tag als aktiv ausgenutzt.

„Operation Highland“ folgt nach Einschätzung von Sygnia demselben Grundprinzip, nur noch eine Ebene tiefer. Load-Balancer, Switches und selbst die Login-Software genießen standardmäßig hohes Vertrauen und werden selten kontrolliert. Genau deshalb, so die Argumentation, eignen sie sich für geduldige Angreifer als Versteck.

Der Bericht betont außerdem, dass es sich nicht um ein Problem einer einzelnen CVE handelt. Die Angreifer veränderten nach dem Eindringen vertrauenswürdige Programme selbst. Entsprechend liegt der Schwerpunkt nicht auf dem Einspielen einzelner Patches, sondern auf der Überprüfung der Integrität. Die Bereinigung sei heikel, weil ein falscher Austausch der betroffenen Komponenten Administratoren aus einem laufenden System aussperren könne.

Für die früher beschriebenen Fälle nennt Sygnia eigene Prüfpunkte: Bei Cisco-Nexus-Systemen sollte CVE-2024-20399 geschlossen werden, bei F5-Systemen seien unerwartete ausgehende Verbindungen ein Warnsignal.