Los dispositivos de seguridad de red, como los cortafuegos, están destinados a mantener alejados a los piratas informáticos. En cambio, los intrusos digitales los atacan cada vez más como el eslabón débil que les permite saquear los mismos sistemas que esos dispositivos deben proteger. En el caso de una campaña de piratería informática de los últimos meses, Cisco ahora está revelando que sus firewalls sirvieron como cabezas de playa para piratas informáticos sofisticados que penetraron en múltiples redes gubernamentales en todo el mundo.
El miércoles, Cisco advirtió que sus llamados dispositivos de seguridad adaptativos (dispositivos que integran un firewall y VPN con otras características de seguridad) habían sido atacados por espías patrocinados por el estado que explotaron dos vulnerabilidades de día cero en los equipos del gigante de las redes para comprometer objetivos gubernamentales. a nivel mundial en una campaña de piratería que llama ArcaneDoor.
Los piratas informáticos detrás de las intrusiones, que la división de seguridad de Cisco, Talos, llama UAT4356 y que los investigadores de Microsoft que contribuyeron a la investigación llamaron STORM-1849, no pudieron estar claramente vinculados con ningún incidente de intrusión anterior que las empresas hubieran rastreado. Sin embargo, basándose en el enfoque de espionaje y la sofisticación del grupo, Cisco dice que el hackeo parecía estar patrocinado por el estado.
«Este actor utilizó herramientas personalizadas que demostraron un claro enfoque en el espionaje y un conocimiento profundo de los dispositivos a los que apuntaban, características distintivas de un actor sofisticado patrocinado por el estado», se lee en una publicación de blog de los investigadores de Talos de Cisco.
Cisco se negó a decir qué país creía que era responsable de las intrusiones, pero fuentes familiarizadas con la investigación le dijeron a WIRED que la campaña parece estar alineada con los intereses estatales de China.
Cisco dice que la campaña de piratería comenzó en noviembre de 2023, y que la mayoría de las intrusiones tuvieron lugar entre diciembre y principios de enero de este año, cuando se enteró de la primera víctima. «La investigación que siguió identificó víctimas adicionales, todas las cuales involucraban redes gubernamentales a nivel mundial», se lee en el informe de la compañía.
En esas intrusiones, los piratas informáticos explotaron dos vulnerabilidades recientemente descubiertas en los productos ASA de Cisco. Uno, al que llama Line Dancer, permite a los piratas informáticos ejecutar su propio código malicioso en la memoria de los dispositivos de red, permitiéndoles emitir comandos a los dispositivos, incluida la capacidad de espiar el tráfico de la red y robar datos. Una segunda vulnerabilidad, que Cisco llama Line Runner, permitiría que el malware de los piratas informáticos mantuviera su acceso a los dispositivos objetivo incluso cuando se reiniciaran o actualizaran. Aún no está claro si las vulnerabilidades sirvieron como puntos de acceso iniciales a las redes de las víctimas, o cómo los piratas informáticos podrían haber obtenido acceso antes de explotar los dispositivos Cisco.
Cisco ha lanzado actualizaciones de software para parchear ambas vulnerabilidades y aconseja a los clientes que las implementen de inmediato, junto con otras recomendaciones para detectar si han sido atacadas. A pesar del mecanismo de persistencia Line Runner de los piratas informáticos, un aviso separado del Centro Nacional de Ciberseguridad del Reino Unido señala que desconectar físicamente un dispositivo ASA interrumpe el acceso de los piratas informáticos. «Se ha confirmado que un reinicio completo desconectando el enchufe de Cisco ASA evita que Line Runner se reinstale», se lee en el aviso.
La campaña de piratería ArcaneDoor representa solo la última serie de intrusiones dirigidas a aplicaciones del perímetro de la red, a veces denominadas dispositivos «de borde», como servidores de correo electrónico, cortafuegos y VPN (a menudo dispositivos destinados a proporcionar seguridad), cuyas vulnerabilidades permitieron a los piratas informáticos obtener un punto de partida en el interior. la red de una víctima. Los investigadores de Talos de Cisco advierten sobre esa tendencia más amplia en su informe, refiriéndose a redes altamente sensibles que han visto atacadas a través de dispositivos de borde en los últimos años. «Conseguir un punto de apoyo en estos dispositivos permite a un actor ingresar directamente en una organización, redirigir o modificar el tráfico y monitorear las comunicaciones de la red», escriben. «En los últimos dos años, hemos visto un aumento dramático y sostenido en la focalización de estos dispositivos en áreas como proveedores de telecomunicaciones y organizaciones del sector energético, entidades de infraestructura crítica que probablemente sean objetivos estratégicos de interés para muchos gobiernos extranjeros».