I ricercatori di sicurezza informatica hanno identificato una campagna dannosa nelle apparecchiature di rete di diversi fornitori, tra cui Cisco, per distribuire malware personalizzato e raccogliere segretamente dati sulle reti governative. La campagna, chiamata ArcaneDoor dalla società di sicurezza informatica Cisco Talos, prendeva di mira i dispositivi di protezione di un perimetro di rete, in questo caso firewall o VPN.
Un “aumento sostenuto degli obiettivi” nei settori delle telecomunicazioni e dell’energia
“I dispositivi perimetrali della rete forniscono il punto di intrusione ideale per le campagne di spionaggio (…)sottolinea il rapporto Cisco Talos. Negli ultimi due anni, abbiamo assistito a un aumento drammatico e sostenuto nel prendere di mira questi dispositivi da parte dei fornitori di telecomunicazioni e delle organizzazioni del settore energetico – entità infrastrutturali critiche che sono probabilmente obiettivi di “interesse per molti governi stranieri”.
Cisco è stata avvisata di attività sospette su uno dei suoi Adaptive Security Appliance (ASA) nel gennaio 2024. I ricercatori hanno successivamente identificato un “piccolo gruppo di clienti”coinvolgendo tutti “reti governative globali”. Gli hacker hanno effettivamente lavorato all’attacco informatico a partire dal luglio 2023, prima di controllare una prima infrastruttura a novembre.
Gli hacker hanno effettuato due attacchi 0-day, che sfruttano vulnerabilità di sicurezza precedentemente sconosciute per ottenere l’accesso a un sistema. La prima vulnerabilità (CVE-2024-20353) deriva da un errore durante l’analisi di una richiesta HTTP, consentendo agli hacker di eseguire comandi sul dispositivo compromesso. Con la seconda vulnerabilità (CVE-2024-20359), gli hacker potrebbero precaricare client VPN e plug-in per eseguire codice arbitrario con privilegi a livello di root.
Capacità di “rivelare lo spionaggio”
I ricercatori di sicurezza informatica di Cisco Talos hanno attribuito questo attacco informatico a un attore dannoso precedentemente non documentato soprannominato UAT4356 o Storm-1849 da Microsoft. “UAT4356 ha implementato due backdoor come parte di questa campagna, “Line Runner” e “Line Dancer”, che sono state utilizzate collettivamente per eseguire azioni dannose sul bersaglio, tra cui la modifica della configurazione, la ricognizione, la cattura e l’esfiltrazione del traffico di rete e potenzialmente il movimento laterale. “
Mentre “Line Dancer” consente agli aggressori informatici di scaricare ed eseguire payload di codice dannoso per catturare il traffico Internet e coprire le proprie tracce, “Line Runner” è una backdoor persistente, che sopravvive a riavvii e aggiornamenti. Secondo un avviso pubblicato dalle agenzie di sicurezza informatica di Australia, Canada e Regno Unito, “Queste capacità sono indicative di spionaggio condotto da un attore sofisticato, dotato di risorse adeguate e sponsorizzato dallo Stato”.
I router Cisco sono particolarmente vulnerabili
Cisco Talos avverte: “Le informazioni provenienti dai partner dell’intelligence indicano che l’autore è interessato e potenzialmente attacca i dispositivi di rete di Microsoft e altri fornitori.” Da allora le tre patch correttive, di cui due ritenute critiche, sono state rilasciate, indipendentemente dal fornitore dell’apparecchiatura di rete.
I dispositivi dell’hardware di rete numero 1 sono già stati presi di mira da criminali informatici che agiscono per conto di uno Stato. Lo scorso febbraio, i router Cisco e Netgear ormai fuori uso sono stati infettati e utilizzati dal gruppo di hacker cinese Volt Typhoon. Lo scorso luglio, le agenzie di sicurezza informatica britanniche e americane hanno messo in guardia contro il gruppo di hacker russo Fancy Bear, che aveva sfruttato i difetti di alcuni router Cisco vulnerabili per effettuare ricognizioni e distribuire malware.
Selezionato per te
