Os dispositivos de segurança de rede, como firewalls, têm o objetivo de manter os hackers afastados. No entanto, invasores digitais estão cada vez mais mirando neles como o elo fraco que lhes permite saquear os próprios sistemas que esses dispositivos deveriam proteger. No caso de uma campanha de hacking nos últimos meses, a Cisco está revelando que seus firewalls serviram como cabeças de ponte para hackers sofisticados penetrarem em múltiplas redes governamentais em todo o mundo.
Na quarta-feira, a Cisco alertou que seus chamados Adaptive Security Appliances – dispositivos que integram firewall e VPN com outras funcionalidades de segurança – foram alvo de espiões patrocinados pelo estado que exploraram duas vulnerabilidades zero-day no equipamento da gigante de redes para comprometer alvos governamentais globalmente em uma campanha de hacking chamada ArcaneDoor.
Os hackers por trás das intrusões, que a divisão de segurança da Cisco Talos chama de UAT4356 e que os pesquisadores da Microsoft que contribuíram para a investigação denominaram STORM-1849, não puderam ser claramente ligados a incidentes de intrusão anteriores rastreados pelas empresas. Com base no foco e sofisticação em espionagem do grupo, no entanto, a Cisco afirma que o hacking parecia ser patrocinado pelo estado.
“Este ator utilizou ferramentas personalizadas que demonstraram um claro foco em espionagem e um conhecimento aprofundado dos dispositivos que visavam, características de um ator patrocinado pelo estado sofisticado,” diz um post no blog dos pesquisadores da Talos da Cisco.
A Cisco se recusou a dizer qual país acreditava ser responsável pelas intrusões, mas fontes familiarizadas com a investigação dizem à WIRED que a campanha parece se alinhar aos interesses do estado chinês.
A Cisco diz que a campanha de hacking começou já em novembro de 2023, com a maioria das intrusões ocorrendo entre dezembro e o início de janeiro deste ano, quando tiveram conhecimento da primeira vítima. “A investigação que se seguiu identificou vítimas adicionais, todas envolvendo redes governamentais globalmente,” diz o relatório da empresa.
Nessas intrusões, os hackers exploraram duas vulnerabilidades recém-descobertas nos produtos ASA da Cisco. Uma, chamada Line Dancer, permitia que os hackers executassem seu próprio código malicioso na memória dos appliances de rede, permitindo-lhes enviar comandos aos dispositivos, incluindo a capacidade de espionar o tráfego de rede e roubar dados. Uma segunda vulnerabilidade, chamada Line Runner, permitiria que o malware dos hackers mantivesse seu acesso aos dispositivos-alvo mesmo quando fossem reiniciados ou atualizados. Ainda não está claro se as vulnerabilidades serviram como pontos de acesso inicial às redes das vítimas, ou como os hackers poderiam ter obtido acesso de outra forma antes de explorar os appliances da Cisco.
A Cisco lançou atualizações de software para corrigir ambas as vulnerabilidades, e aconselha os clientes a implementá-las imediatamente, juntamente com outras recomendações para detectar se foram alvos. Apesar do mecanismo de persistência do Line Runner dos hackers, um aviso separado do Centro Nacional de Cibersegurança do Reino Unido observa que desconectar fisicamente um dispositivo ASA interrompe o acesso dos hackers. “Um reinício forçado desconectando o plugue de energia do Cisco ASA foi confirmado para evitar a reinstalação do Line Runner,” diz o aviso.
A campanha de hacking ArcaneDoor representa apenas a mais recente série de intrusões visando aplicativos perimetrais de rede, às vezes referidos como dispositivos de “borda”, como servidores de e-mail, firewalls e VPNs – frequentemente dispositivos destinados a fornecer segurança – cujas vulnerabilidades permitiram aos hackers obter um ponto de apoio dentro da rede da vítima. Os pesquisadores da Talos da Cisco alertam para essa tendência mais ampla em seu relatório, referindo-se a redes altamente sensíveis que eles viram ser alvos através de dispositivos perimetrais nos últimos anos. “Obter um ponto de apoio nesses dispositivos permite que um ator faça diretamente a pivô em uma organização, redirecionar ou modificar o tráfego e monitorar as comunicações de rede,” escrevem. “Nos últimos dois anos, vimos um aumento dramático e sustentado no direcionamento desses dispositivos em áreas como provedores de telecomunicações e organizações do setor energético – entidades de infraestrutura crítica que provavelmente são alvos estratégicos de interesse para muitos governos estrangeiros.”
