Il produttore di apparecchiature Cisco è un obiettivo primario per gli hacker di alto livello. Inoltre, non sorprende che il colosso americano venga preso di mira da un nuovo attacco di spionaggio destinato a compromettere le reti governative di tutto il mondo, come nota l’azienda.
Il produttore ha appena rivelato i risultati delle sue indagini, dopo aver scoperto due vulnerabilità nel suo sistema ASA (Adaptive Security Appliances). Questo terminale particolarmente sensibile combina funzionalità firewall, antivirus, prevenzione delle intrusioni e rete privata virtuale.
Successivamente sono state implementate due backdoor
Allertata da un cliente all’inizio del 2024, Cisco ha scoperto un sofisticato gruppo di aggressori che sono riusciti a infiltrarsi in questo prodotto sfruttando due vulnerabilità. Una volta nel sistema informativo delle loro vittime, queste ultime, interessate anche ai server di posta di Microsoft Exchange, potrebbero poi implementare due backdoor per rientrare più facilmente, chiamate “Lune Runner” e “Line Dancer”.
Un simile attacco è stato chiaramente effettuato da un malintenzionato sponsorizzato dallo stato, soprannominato “UAT4356” da Cisco. Ma l’industriale non è andato oltre nel campo dell’attribuzione. Lo hanno però riferito alla rivista fonti vicine alle indagini Cablato che la campagna dannosa sembrava essere in linea con gli interessi della Cina.
Il modus operandi ha anche un’aria di déjà vu che indirizza i sospetti verso Pechino. Qualche mese fa, ad esempio, Mandiant segnalava tentativi di compromettere le apparecchiature Ivanti da parte di malintenzionati legati alla Cina, un firewall perfetto per questo tipo di attacco alla catena di fornitura.
Punto di intrusione ideale
Come i prodotti Ivanti, il dispositivo ASA di Cisco è “il punto di intrusione ideale per le campagne di spionaggio”, concorda l’industriale. “Avere un punto d’appoggio su questi dispositivi consente a un attore di ruotare direttamente all’interno di un’organizzazione, reindirizzare o modificare il traffico e monitorare le comunicazioni di rete”, aggiunge.
Tuttavia, le due vulnerabilità critiche sono state appena corrette. È consigliabile applicare prima gli aggiornamenti di sicurezza, quindi scollegare le apparecchiature per effettuare indagini e azioni correttive, ricorda Cert-FR.
Secondo la cronologia utilizzata da Cisco, gli hacker malintenzionati non hanno avuto molto tempo per agire. Le attività più sospette si sono verificate tra dicembre 2023 e gennaio 2024, anche se il settore stima che le backdoor siano state testate e sviluppate nel luglio 2023.
