Os aparelhos de segurança de rede, como os firewalls, têm como objetivo manter os hackers afastados. No entanto, os intrusos digitais estão cada vez mais mirando neles como o elo fraco que lhes permite pilhar os próprios sistemas que esses dispositivos foram projetados para proteger. No caso de uma campanha de hacking nos últimos meses, a Cisco está revelando que seus firewalls serviram como bases para hackers sofisticados penetrarem em múltiplas redes governamentais em todo o mundo.
Na quarta-feira, a Cisco alertou que seus chamados Adaptive Security Appliances – dispositivos que integram um firewall e VPN com outros recursos de segurança – foram alvo de espiões patrocinados pelo Estado que exploraram duas vulnerabilidades zero-day nos equipamentos da gigante de redes para comprometer alvos governamentais globalmente em uma campanha de hacking chamada ArcaneDoor.
Os hackers por trás das intrusões, que a divisão de segurança da Cisco, Talos, chama de UAT4356 e os pesquisadores da Microsoft que contribuíram para a investigação chamaram de STORM-1849, não puderam ser claramente ligados a incidentes anteriores de intrusão rastreados pelas empresas. Com base no foco e sofisticação em espionagem do grupo, no entanto, a Cisco afirma que o hacking parece ser patrocinado pelo Estado.
“Esse ator utilizou ferramentas personalizadas que demonstraram um claro enfoque em espionagem e um profundo conhecimento dos dispositivos que visaram, características de um ator patrocinado pelo Estado sofisticado”, diz uma postagem no blog dos pesquisadores da Talos da Cisco.
A Cisco se recusou a dizer qual país acredita ser responsável pelas intrusões, mas fontes familiarizadas com a investigação dizem à WIRED que a campanha parece estar alinhada com os interesses do Estado chinês.
A Cisco afirma que a campanha de hacking começou já em novembro de 2023, com a maioria das intrusões ocorrendo entre dezembro e início de janeiro deste ano, quando descobriu a primeira vítima. “A investigação que se seguiu identificou vítimas adicionais, todas envolvendo redes governamentais globalmente”, diz o relatório da empresa.
Nessas intrusões, os hackers exploraram duas vulnerabilidades recém-descobertas nos produtos ASA da Cisco. Uma, que eles chamam de Line Dancer, permitiu que os hackers executassem seu próprio código malicioso na memória dos aparelhos de rede, permitindo-lhes emitir comandos aos dispositivos, incluindo a capacidade de espionar o tráfego da rede e roubar dados. Uma segunda vulnerabilidade, que a Cisco chama de Line Runner, permitiria que o malware dos hackers mantivesse seu acesso aos dispositivos-alvo mesmo quando fossem reiniciados ou atualizados. Ainda não está claro se as vulnerabilidades serviram como pontos de acesso inicial às redes das vítimas, ou como os hackers poderiam ter obtido acesso de outra forma antes de explorar os equipamentos da Cisco.
A Cisco lançou atualizações de software para corrigir ambas as vulnerabilidades e aconselha que os clientes as implementem imediatamente, juntamente com outras recomendações para detectar se foram alvos. Apesar do mecanismo de persistência Line Runner dos hackers, um aviso separado do Centro Nacional de Cibersegurança do Reino Unido destaca que desconectar fisicamente um dispositivo ASA interrompe o acesso dos hackers. “Um reinício forçado ao retirar o cabo de energia do Cisco ASA foi confirmado para impedir que o Line Runner se reinstale”, diz o aviso.
A campanha de hacking ArcaneDoor representa apenas a última série de intrusões que visam aplicativos de perímetro de rede às vezes referidos como dispositivos “edge”, como servidores de e-mail, firewalls e VPNs – muitas vezes dispositivos destinados a fornecer segurança – cujas vulnerabilidades permitiram que hackers obtivessem um ponto de apoio dentro da rede da vítima. Os pesquisadores da Talos da Cisco alertam para essa tendência mais ampla em seu relatório, referindo-se a redes altamente sensíveis que eles viram ser alvo por meio de dispositivos de borda nos últimos anos. “Obter uma posição nesses dispositivos permite a um ator pivotar diretamente para uma organização, reencaminhar ou modificar o tráfego e monitorar as comunicações em rede”, escrevem. “Nos últimos dois anos, testemunhamos um aumento dramático e sustentado no direcionamento desses dispositivos em áreas como provedores de telecomunicações e organizações do setor de energia – entidades de infraestrutura crítica que provavelmente são alvos estratégicos de interesse para muitos governos estrangeiros.”
