Los dispositivos de seguridad de red, como los cortafuegos, están destinados a mantener alejados a los piratas informáticos. En cambio, los intrusos digitales los atacan cada vez más como el eslabón débil que les permite saquear los mismos sistemas que esos dispositivos deben proteger. En el caso de una campaña de piratería informática de los últimos meses, Cisco ahora está revelando que sus firewalls sirvieron como cabezas de playa para piratas informáticos sofisticados que penetraron en múltiples redes gubernamentales en todo el mundo.
El miércoles, Cisco prevenido que sus llamados Dispositivos de Seguridad Adaptativos (dispositivos que integran un firewall y VPN con otras características de seguridad) habían sido atacados por espías patrocinados por el estado que explotaron dos vulnerabilidades de día cero en los equipos del gigante de las redes para comprometer objetivos gubernamentales a nivel mundial en una campaña de piratería informática. se llama ArcaneDoor.
Los piratas informáticos detrás de las intrusiones, que la división de seguridad de Cisco, Talos, llama UAT4356 y que los investigadores de Microsoft que contribuyeron a la investigación llamaron STORM-1849, no pudieron estar claramente vinculados con ningún incidente de intrusión anterior que las empresas hubieran rastreado. Sin embargo, basándose en el enfoque de espionaje y la sofisticación del grupo, Cisco dice que el hackeo parecía estar patrocinado por el estado.
“Este actor utilizó herramientas personalizadas que demostraron un claro enfoque en el espionaje y un conocimiento profundo de los dispositivos a los que apuntaban, características distintivas de un actor sofisticado patrocinado por el estado”, se lee en una publicación de blog de los investigadores de Talos de Cisco.
Cisco se negó a decir qué país creía que era responsable de las intrusiones, pero fuentes familiarizadas con la investigación le dijeron a WIRED que la campaña parece estar alineada con los intereses estatales de China.
Cisco dice que la campaña de piratería comenzó en noviembre de 2023, y que la mayoría de las intrusiones tuvieron lugar entre diciembre y principios de enero de este año, cuando se enteró de la primera víctima. “La investigación que siguió identificó víctimas adicionales, todas las cuales involucraban redes gubernamentales a nivel mundial”, se lee en el informe de la compañía.
En esas intrusiones, los piratas informáticos explotaron dos vulnerabilidades recién descubiertas en los productos ASA de Cisco. Uno, al que llama Line Dancer, permite a los piratas informáticos ejecutar su propio código malicioso en la memoria de los dispositivos de red, permitiéndoles emitir comandos a los dispositivos, incluida la capacidad de espiar el tráfico de la red y robar datos. Una segunda vulnerabilidad, que Cisco llama Line Runner, permitiría que el malware de los piratas informáticos mantuviera su acceso a los dispositivos objetivo incluso cuando se reiniciaran o actualizaran.
Cisco ha lanzado actualizaciones de software para parchear ambas vulnerabilidades y aconseja que los clientes las implementen inmediatamente, junto con otras recomendaciones para detectar si han sido atacados.
La campaña de piratería ArcaneDoor representa solo la última serie de intrusiones dirigidas a aplicaciones del perímetro de la red, a veces denominadas dispositivos “de borde”, como servidores de correo electrónico, cortafuegos y VPN (a menudo dispositivos destinados a proporcionar seguridad), cuyas vulnerabilidades permitieron a los piratas informáticos obtener un punto de partida en el interior. la red de una víctima. Los investigadores de Talos de Cisco advierten sobre esa tendencia más amplia en su informe, refiriéndose a redes altamente sensibles que han visto atacadas a través de dispositivos de borde en los últimos años. “Conseguir un punto de apoyo en estos dispositivos permite a un actor ingresar directamente en una organización, redirigir o modificar el tráfico y monitorear las comunicaciones de la red”, escriben. “En los últimos dos años, hemos visto un aumento dramático y sostenido en la focalización de estos dispositivos en áreas como proveedores de telecomunicaciones y organizaciones del sector energético, entidades de infraestructura crítica que probablemente sean objetivos estratégicos de interés para muchos gobiernos extranjeros”.