Dispositivos de segurança de rede como firewalls têm a finalidade de manter hackers fora. No entanto, intrusos digitais estão cada vez mais direcionando seus ataques a eles como o elo fraco que lhes permite pilhar os próprios sistemas que esses dispositivos foram feitos para proteger. No caso de uma campanha de hacking nos últimos meses, a Cisco agora está revelando que seus firewalls serviram como bases de operações para hackers sofisticados que penetraram em várias redes governamentais ao redor do mundo.
Na quarta-feira, a Cisco alertou que seus chamados Dispositivos de Segurança Adaptativa – dispositivos que integram um firewall e VPN com outros recursos de segurança – foram alvos de espiões patrocinados pelo Estado que exploraram duas vulnerabilidades zero-day nos equipamentos da gigante de redes para comprometer alvos governamentais globalmente em uma campanha de hacking chamada ArcaneDoor.
Os hackers por trás das intrusões, que a divisão de segurança da Cisco Talos está chamando de UAT4356 e que os pesquisadores da Microsoft que contribuíram para a investigação nomearam de STORM-1849, não puderam ser claramente vinculados a nenhum incidente de intrusão anterior rastreado pelas empresas. Com base no foco e sofisticação de espionagem do grupo, no entanto, a Cisco afirma que o hacking parecia ser patrocinado pelo Estado.
“Este ator usou ferramentas feitas sob medida que demonstraram um claro foco em espionagem e um conhecimento profundo dos dispositivos que visaram, características de um ator patrocinado pelo Estado sofisticado”, diz um post no blog dos pesquisadores da Talos da Cisco.
A Cisco se recusou a informar qual país acredita ser responsável pelas intrusões, mas fontes familiarizadas com a investigação informaram à WIRED que a campanha parece estar alinhada com os interesses estatais da China.
A Cisco diz que a campanha de hacking começou tão cedo quanto novembro de 2023, com a maioria das intrusões ocorrendo entre dezembro e início de janeiro deste ano, quando soube do primeiro alvo. “A investigação que se seguiu identificou vítimas adicionais, todas envolvendo redes governamentais globalmente”, diz o relatório da empresa.
Nessas intrusões, os hackers exploraram duas vulnerabilidades recém-descobertas nos produtos ASA da Cisco. Uma, que eles chamam de Line Dancer, permitia que os hackers executassem seu próprio código malicioso na memória dos dispositivos de rede, permitindo que eles emitissem comandos aos dispositivos, incluindo a capacidade de espionar o tráfego da rede e roubar dados. Uma segunda vulnerabilidade, que a Cisco chama de Line Runner, permitiria que o malware dos hackers mantivesse seu acesso aos dispositivos-alvo mesmo quando eles fossem reiniciados ou atualizados. Ainda não está claro se as vulnerabilidades serviram como pontos de acesso inicial às redes das vítimas, ou como os hackers poderiam ter obtido acesso antes de explorar os dispositivos da Cisco.
A Cisco lançou atualizações de software para corrigir ambas as vulnerabilidades, e aconselha que os clientes as implementem imediatamente, juntamente com outras recomendações para detectar se foram alvos. Apesar do mecanismo de persistência Line Runner dos hackers, um aviso separado do Centro Nacional de Segurança Cibernética do Reino Unido observa que desconectar fisicamente um dispositivo ASA interrompe o acesso dos hackers. “Uma reinicialização rígida, retirando o plugue de energia do Cisco ASA, foi confirmada para impedir que o Line Runner se reinstale”, diz o alerta.
A campanha de hacking ArcaneDoor representa apenas a mais recente série de intrusões que visam aplicativos perimetrais de rede às vezes chamados de dispositivos “edge” como servidores de e-mail, firewalls e VPNs – frequentemente dispositivos destinados a fornecer segurança – cujas vulnerabilidades permitiram que hackers obtivessem um ponto de apoio dentro da rede da vítima. Os pesquisadores da Talos da Cisco alertam sobre essa tendência mais ampla em seu relatório, referindo-se a redes altamente sensíveis que viram ser alvos via dispositivos de borda nos últimos anos. “Obter um ponto de apoio nesses dispositivos permite que um ator se adapte diretamente a uma organização, redirecione ou modifique o tráfego e monitore comunicações de rede”, escrevem. “Nos últimos dois anos, vimos um aumento dramático e sustentado no direcionamento desses dispositivos em áreas como provedores de telecomunicações e organizações do setor de energia – entidades de infraestrutura crítica que provavelmente são alvos estratégicos de interesse para muitos governos estrangeiros.”
