Dispositivos de segurança de rede, como firewalls, destinam-se a manter os hackers afastados. Em vez disso, os intrusos digitais estão cada vez mais a considerá-los como o elo mais fraco que lhes permite pilhar os próprios sistemas que esses dispositivos pretendem proteger. No caso de uma campanha de hackers nos últimos meses, a Cisco revela agora que os seus firewalls serviram como cabeças de ponte para hackers sofisticados que penetraram em múltiplas redes governamentais em todo o mundo.
Na quarta-feira, Cisco avisou que seus chamados Adaptive Security Appliances – dispositivos que integram um firewall e VPN com outros recursos de segurança – foram alvo de espiões patrocinados pelo Estado que exploraram duas vulnerabilidades de dia zero nos equipamentos da gigante das redes para comprometer alvos governamentais em todo o mundo em uma campanha de hackers está chamando ArcaneDoor.
Os hackers por trás das intrusões, que a divisão de segurança da Cisco, Talos, chama de UAT4356 e que os pesquisadores da Microsoft que contribuíram para a investigação chamaram de STORM-1849, não puderam estar claramente ligados a quaisquer incidentes de intrusão anteriores que as empresas tenham rastreado. No entanto, com base no foco e na sofisticação do grupo em espionagem, a Cisco afirma que a invasão parece ter sido patrocinada pelo Estado.
“Este ator utilizou ferramentas personalizadas que demonstraram um foco claro na espionagem e um conhecimento profundo dos dispositivos que visavam, características de um ator sofisticado patrocinado pelo Estado”, diz uma postagem no blog dos pesquisadores do Talos da Cisco.
A Cisco recusou-se a dizer qual país acredita ser responsável pelas invasões, mas fontes familiarizadas com a investigação disseram à WIRED que a campanha parece estar alinhada com os interesses do Estado da China.
A Cisco afirma que a campanha de hackers começou em novembro de 2023, com a maioria das invasões ocorrendo entre dezembro e início de janeiro deste ano, quando soube da primeira vítima. “A investigação que se seguiu identificou vítimas adicionais, todas envolvendo redes governamentais em todo o mundo”, diz o relatório da empresa.
Nessas invasões, os hackers exploraram duas vulnerabilidades recentemente descobertas nos produtos ASA da Cisco. Um deles, chamado Line Dancer, permite que os hackers executem seu próprio código malicioso na memória dos dispositivos de rede, permitindo-lhes emitir comandos para os dispositivos, incluindo a capacidade de espionar o tráfego da rede e roubar dados. Uma segunda vulnerabilidade, que a Cisco chama de Line Runner, permitiria que o malware dos hackers mantivesse seu acesso aos dispositivos alvo mesmo quando eles fossem reiniciados ou atualizados. Ainda não está claro se as vulnerabilidades serviram como pontos de acesso iniciais às redes das vítimas ou como os hackers poderiam ter obtido acesso antes de explorar os dispositivos Cisco.
A Cisco lançou atualizações de software para corrigir ambas as vulnerabilidades e aconselha que os clientes os implementem imediatamente, juntamente com outras recomendações para detectar se foram direcionados. Apesar do mecanismo de persistência Line Runner dos hackers, um assessoria separada do Centro Nacional de Cibersegurança do Reino Unido observa que desconectar fisicamente um dispositivo ASA interrompe o acesso dos hackers. “Uma reinicialização forçada puxando o plugue de alimentação do Cisco ASA foi confirmada para evitar que o Line Runner se reinstalasse”, diz o comunicado.
A campanha de hackers ArcaneDoor representa apenas a mais recente série de invasões direcionadas a aplicativos de perímetro de rede, às vezes chamados de dispositivos de “borda”, como servidores de e-mail, firewalls e VPNs – geralmente dispositivos destinados a fornecer segurança – cujas vulnerabilidades permitiram que hackers obtivessem um ponto de preparação dentro rede de uma vítima. Os pesquisadores do Talos da Cisco alertam sobre essa tendência mais ampla em seu relatório, referindo-se a redes altamente sensíveis que têm sido alvo de dispositivos de ponta nos últimos anos. “Ganhar uma posição segura nesses dispositivos permite que um ator se integre diretamente em uma organização, redirecione ou modifique o tráfego e monitore as comunicações de rede”, escrevem eles. “Nos últimos dois anos, assistimos a um aumento dramático e sustentado no direcionamento destes dispositivos em áreas como fornecedores de telecomunicações e organizações do setor energético – entidades de infraestrutura crítica que são provavelmente alvos estratégicos de interesse para muitos governos estrangeiros.”
