Какое государство спонсирует новую кампанию и что за уязвимости помогают хакерам?
Сетевые средства защиты, такие как брандмауэры, призваны оберегать корпоративные сети от взломов. Но, как выясняется, киберпреступники все чаще обращают эти системы против владельцев, используя их в качестве трамплинов для проникновения в уязвимые сети.
В среду компания Cisco предупредила, что их устройства Adaptive Security Appliances, объединяющие брандмауэр, VPN и другие защитные компоненты, были скомпрометированы хакерской группировкой, по всей видимости, связанной с одним из недружественных государств. Взломщики воспользовались двумя ранее неизвестными уязвимостями в продуктах Cisco для получения доступа к правительственным объектам в разных странах мира. Кибератака получила название ArcaneDoor .
Хакерская группа, которую подразделение кибербезопасности Talos называет UAT4356, а эксперты Microsoft, участвовавшие в расследовании - STORM-1849, ранее не была связана ни с одним известным инцидентом. Однако, судя по ее профессионализму и сфокусированности на кибершпионаже, Cisco заключает, что за ней стоит государственный спонсор.
По данным специалистов, вредоносная активность началась еще в ноябре 2023 года, но пик пришелся на декабрь-январь 2024, когда была идентифицирована первая жертва. "Дальнейшее расследование выявило и другие случаи взлома, все они касались правительственных сетей в разных странах", - сообщается в отчете.
Первая уязвимость, получившая название Line Dancer, позволяла внедрять вредоносный код в память межсетевых экранов, предоставляя возможность выполнять команды на этих системах, перехватывать сетевой трафик и похищать конфиденциальные данные. Вторая проблема, Line Runner , обеспечивала сохранение доступа даже после перезагрузки или обновления скомпрометированных устройств.
Сама Cisco не называет страну, причастную к атакам. Однако осведомленные источники сообщают, что эта кампания, похоже, отвечает интересам Китая.
Для устранения обнаруженных уязвимостей Cisco выпустила соответствующие обновления и рекомендует клиентам установить их как можно скорее. Также производитель предлагает комплекс мер для выявления возможных следов взлома. Между тем, Национальный центр кибербезопасности Великобритании отмечает, что физическое отключение устройств ASA от электропитания позволяет ограничить хакерам доступ к системе несмотря на то, что они как правило внедряют механизм Line Runner для сохранения присутствия.
Эксперты бьют тревогу - за последние два года они наблюдают резкий и устойчивый рост атак на периметральные системы кибербезопасности в жизненно важных отраслях вроде телекоммуникаций и энергетики. Проникновение в подобные инфраструктурные объекты представляет серьезный интерес для многих государств-агрессоров.
Эта тревожная тенденция атак на пограничные сетевые системы приобрела столь значительные масштабы, что аналитики компании Mandiant , входящей в Google, выделили ее в своем ежегодном отчете по киберугрозам M-Trends. В документе, в частности, упоминаются широко использованные в прошлом году хакерами уязвимости в продуктах компаний Barracuda и Ivanti.
Собираем и анализируем опыт профессионалов ИБ