\n<\/p>\n
Los dispositivos de seguridad de red, como los cortafuegos, est\u00e1n destinados a mantener alejados a los piratas inform\u00e1ticos. En cambio, los intrusos digitales los atacan cada vez m\u00e1s como el eslab\u00f3n d\u00e9bil que les permite saquear los mismos sistemas que esos dispositivos deben proteger. En el caso de una campa\u00f1a de pirater\u00eda inform\u00e1tica de los \u00faltimos meses, Cisco ahora est\u00e1 revelando que sus firewalls sirvieron como cabezas de playa para piratas inform\u00e1ticos sofisticados que penetraron en m\u00faltiples redes gubernamentales en todo el mundo.<\/p>\n
El mi\u00e9rcoles, Cisco advirti\u00f3 que sus llamados dispositivos de seguridad adaptativos (dispositivos que integran un firewall y VPN con otras caracter\u00edsticas de seguridad) hab\u00edan sido atacados por esp\u00edas patrocinados por el estado que explotaron dos vulnerabilidades de d\u00eda cero en los equipos del gigante de las redes para comprometer objetivos gubernamentales. a nivel mundial en una campa\u00f1a de pirater\u00eda que llama ArcaneDoor.<\/p>\n
Los piratas inform\u00e1ticos detr\u00e1s de las intrusiones, que la divisi\u00f3n de seguridad de Cisco, Talos, llama UAT4356 y que los investigadores de Microsoft que contribuyeron a la investigaci\u00f3n llamaron STORM-1849, no pudieron estar claramente vinculados con ning\u00fan incidente de intrusi\u00f3n anterior que las empresas hubieran rastreado. Sin embargo, bas\u00e1ndose en el enfoque de espionaje y la sofisticaci\u00f3n del grupo, Cisco dice que el hackeo parec\u00eda estar patrocinado por el estado.<\/p>\n
\u00abEste actor utiliz\u00f3 herramientas personalizadas que demostraron un claro enfoque en el espionaje y un conocimiento profundo de los dispositivos a los que apuntaban, caracter\u00edsticas distintivas de un actor sofisticado patrocinado por el estado\u00bb, se lee en una publicaci\u00f3n de blog de los investigadores de Talos de Cisco.<\/p>\n
Cisco se neg\u00f3 a decir qu\u00e9 pa\u00eds cre\u00eda que era responsable de las intrusiones, pero fuentes familiarizadas con la investigaci\u00f3n le dijeron a WIRED que la campa\u00f1a parece estar alineada con los intereses estatales de China.<\/p>\n
Cisco dice que la campa\u00f1a de pirater\u00eda comenz\u00f3 en noviembre de 2023, y que la mayor\u00eda de las intrusiones tuvieron lugar entre diciembre y principios de enero de este a\u00f1o, cuando se enter\u00f3 de la primera v\u00edctima. \u00abLa investigaci\u00f3n que sigui\u00f3 identific\u00f3 v\u00edctimas adicionales, todas las cuales involucraban redes gubernamentales a nivel mundial\u00bb, se lee en el informe de la compa\u00f1\u00eda.<\/p>\n
En esas intrusiones, los piratas inform\u00e1ticos explotaron dos vulnerabilidades recientemente descubiertas en los productos ASA de Cisco. Uno, al que llama Line Dancer, permite a los piratas inform\u00e1ticos ejecutar su propio c\u00f3digo malicioso en la memoria de los dispositivos de red, permiti\u00e9ndoles emitir comandos a los dispositivos, incluida la capacidad de espiar el tr\u00e1fico de la red y robar datos. Una segunda vulnerabilidad, que Cisco llama Line Runner, permitir\u00eda que el malware de los piratas inform\u00e1ticos mantuviera su acceso a los dispositivos objetivo incluso cuando se reiniciaran o actualizaran. A\u00fan no est\u00e1 claro si las vulnerabilidades sirvieron como puntos de acceso iniciales a las redes de las v\u00edctimas, o c\u00f3mo los piratas inform\u00e1ticos podr\u00edan haber obtenido acceso antes de explotar los dispositivos Cisco.<\/p>\n
Cisco ha lanzado actualizaciones de software para parchear ambas vulnerabilidades y aconseja a los clientes que las implementen de inmediato, junto con otras recomendaciones para detectar si han sido atacadas. A pesar del mecanismo de persistencia Line Runner de los piratas inform\u00e1ticos, un aviso separado del Centro Nacional de Ciberseguridad del Reino Unido se\u00f1ala que desconectar f\u00edsicamente un dispositivo ASA interrumpe el acceso de los piratas inform\u00e1ticos. \u00abSe ha confirmado que un reinicio completo desconectando el enchufe de Cisco ASA evita que Line Runner se reinstale\u00bb, se lee en el aviso.<\/p>\n
La campa\u00f1a de pirater\u00eda ArcaneDoor representa solo la \u00faltima serie de intrusiones dirigidas a aplicaciones del per\u00edmetro de la red, a veces denominadas dispositivos \u00abde borde\u00bb, como servidores de correo electr\u00f3nico, cortafuegos y VPN (a menudo dispositivos destinados a proporcionar seguridad), cuyas vulnerabilidades permitieron a los piratas inform\u00e1ticos obtener un punto de partida en el interior. la red de una v\u00edctima. Los investigadores de Talos de Cisco advierten sobre esa tendencia m\u00e1s amplia en su informe, refiri\u00e9ndose a redes altamente sensibles que han visto atacadas a trav\u00e9s de dispositivos de borde en los \u00faltimos a\u00f1os. \u00abConseguir un punto de apoyo en estos dispositivos permite a un actor ingresar directamente en una organizaci\u00f3n, redirigir o modificar el tr\u00e1fico y monitorear las comunicaciones de la red\u00bb, escriben. \u00abEn los \u00faltimos dos a\u00f1os, hemos visto un aumento dram\u00e1tico y sostenido en la focalizaci\u00f3n de estos dispositivos en \u00e1reas como proveedores de telecomunicaciones y organizaciones del sector energ\u00e9tico, entidades de infraestructura cr\u00edtica que probablemente sean objetivos estrat\u00e9gicos de inter\u00e9s para muchos gobiernos extranjeros\u00bb.<\/p>\n<\/div>\n