Dispositivos de segurança de rede como firewalls são feitos para manter hackers fora. No entanto, invasores digitais estão cada vez mais direcionando seus ataques a eles como o elo fraco que lhes permite saquear os próprios sistemas que esses dispositivos deveriam proteger. No caso de uma campanha de hackers nos últimos meses, a Cisco está revelando agora que seus firewalls serviram como pontos de apoio para hackers sofisticados penetrarem em múltiplas redes governamentais em todo o mundo.
Na quarta-feira, a Cisco alertou que seus chamados Adaptive Security Appliances – dispositivos que integram um firewall e VPN com outras características de segurança – foram alvo de espiões patrocinados pelo estado que exploraram duas vulnerabilidades de dia zero nos equipamentos da gigante de rede para comprometer alvos governamentais globalmente em uma campanha de hacking chamada ArcaneDoor.
Os hackers por trás das intrusões, que a divisão de segurança da Cisco, Talos, está chamando de UAT4356 e que pesquisadores da Microsoft que contribuíram para a investigação nomearam como STORM-1849, não puderam ser claramente associados a nenhum incidente anterior de intrusão rastreado pelas empresas. Com base no foco e na sofisticação do grupo, no entanto, a Cisco afirma que o hacking parecia ser patrocinado pelo estado.
“Este ator utilizou ferramentas personalizadas que demonstraram um claro foco em espionagem e um conhecimento profundo dos dispositivos que visava, características de um ator sofisticado patrocinado pelo estado”, diz um post no blog dos pesquisadores da Talos da Cisco.
A Cisco se recusou a dizer qual país acreditava estar por trás das intrusões, mas fontes familiares com a investigação disseram à WIRED que a campanha parece estar alinhada com os interesses estatais da China.
A Cisco diz que a campanha de hacking começou tão cedo quanto novembro de 2023, com a maioria das intrusões ocorrendo entre dezembro e início de janeiro deste ano, quando tomou conhecimento da primeira vítima. “A investigação que se seguiu identificou vítimas adicionais, todas envolvendo redes governamentais globalmente”, diz o relatório da empresa.
Nessas intrusões, os hackers exploraram duas vulnerabilidades recém-descobertas nos produtos ASA da Cisco. Uma delas, que eles chamam de Line Dancer, permitia que os hackers executassem seu próprio código malicioso na memória dos dispositivos de rede, permitindo-lhes emitir comandos para os dispositivos, incluindo a capacidade de espionar o tráfego da rede e roubar dados. Uma segunda vulnerabilidade, que a Cisco chama de Line Runner, permitiria que o malware dos hackers mantivesse seu acesso aos dispositivos-alvo mesmo quando eles fossem reiniciados ou atualizados. Ainda não está claro se as vulnerabilidades serviram como pontos de acesso iniciais às redes das vítimas, ou como os hackers poderiam ter obtido acesso de outra forma antes de explorar os dispositivos da Cisco.
A Cisco lançou atualizações de software para corrigir ambas as vulnerabilidades e aconselha os clientes a implementá-las imediatamente, juntamente com outras recomendações para detectar se foram alvo. Apesar do mecanismo de persistência Line Runner dos hackers, um aviso separado do Centro Nacional de Segurança Cibernética do Reino Unido observa que desconectar fisicamente um dispositivo ASA interrompe o acesso dos hackers. “Um reinício forçado puxando o cabo de energia do Cisco ASA foi confirmado como impedindo que o Line Runner se reinstale”, diz o aviso.
A campanha de hacking ArcaneDoor representa apenas a mais recente série de intrusões que visaram aplicativos de perímetro de rede às vezes referidos como dispositivos “de borda” como servidores de email, firewalls e VPNs – muitas vezes dispositivos destinados a fornecer segurança – cujas vulnerabilidades permitiram que hackers obtivessem um ponto de apoio dentro da rede da vítima. Os pesquisadores da Talos da Cisco alertam para essa tendência mais ampla em seu relatório, referindo-se a redes altamente sensíveis que eles viram ser alvo por meio de dispositivos de borda nos últimos anos. “Obter uma posição nestes dispositivos permite que um ator pivote diretamente para uma organização, redirecione ou modifique o tráfego e monitore as comunicações de rede”, escrevem eles. “Nos últimos dois anos, observamos um aumento dramático e sustentado no direcionamento desses dispositivos em áreas como provedores de telecomunicações e organizações do setor de energia – entidades de infraestrutura crítica que são alvos estratégicos de interesse para muitos governos estrangeiros.”
