Os dispositivos de segurança de rede, como os firewalls, são projetados para manter os hackers à distância. No entanto, cada vez mais, os hackers os estão mirando como o ponto fraco que lhes permite invadir os sistemas que esses dispositivos deveriam proteger. Recentemente, a Cisco revelou que seus firewalls foram utilizados como ponto de entrada por hackers que conseguiram invadir várias redes governamentais em todo o mundo durante uma campanha nos últimos meses.
Na quarta-feira, a Cisco anunciou que seus dispositivos Adaptive Security Appliances, que combinam firewall, VPN e outras funcionalidades de segurança, foram alvos de hackers financiados por governos que exploraram duas vulnerabilidades zero-day. A campanha, denominada ArcaneDoor, teve como principais alvos agências governamentais em todo o mundo.
Os hackers por trás das invasões, denominados pela Talos (divisão de segurança da Cisco) como UAT4356 e pelos pesquisadores da Microsoft, que contribuíram para a investigação, como STORM-1849, não puderam ser claramente vinculados a quaisquer incidentes de invasão anteriores identificados pelas empresas.
Com base no foco em espionagem e na sofisticação do grupo, a Cisco afirma que esse tipo de ataque é característico de grupos financiados por governos. Em uma postagem no blog da Talos, um pesquisador declarou: "Este agressor utilizou ferramentas personalizadas que demonstraram um claro foco em espionagem e um profundo conhecimento dos dispositivos que estavam visando, características típicas de um agressor sofisticado patrocinado por um Estado."
A Cisco se absteve de identificar qual país acreditava ser responsável pelas invasões, mas de acordo com fontes próximas à empresa, os ataques parecem estar ligados ao Estado chinês.
De acordo com a Cisco, a campanha de hackers teve início em novembro de 2023, com a maioria das invasões ocorrendo entre dezembro e o início de janeiro deste ano. Em um relatório emitido pela empresa, foi observado que os alvos dos ataques incluíam redes de agências governamentais ao redor do globo.
Durante essas invasões, os hackers exploraram duas vulnerabilidades recentemente descobertas nos produtos ASA da Cisco. Uma delas, conhecida como Line Dancer, permite que os hackers executem seu próprio código malicioso na memória dos dispositivos de rede, concedendo-lhes a capacidade de enviar comandos para os dispositivos, incluindo a habilidade de espionar o tráfego de rede e roubar dados.
A segunda vulnerabilidade, denominada Line Runner pela Cisco, permitiria que o malware dos hackers mantivesse seu acesso aos dispositivos de destino mesmo após reinicializações ou atualizações. Ainda não está claro se as vulnerabilidades foram usadas como pontos de entrada inicial para as redes das vítimas ou como os hackers conseguiram acesso antes de explorar os dispositivos da Cisco.
Para remediar essas falhas, a Cisco lançou atualizações de software e aconselha os clientes a implementá-las imediatamente, junto com outras medidas para detectar se foram alvos de ataques. Apesar da persistência do mecanismo Line Runner dos hackers, o Centro Nacional de Segurança Cibernética do Reino Unido afirmou em um comunicado que desconectar fisicamente um dispositivo ASA interrompe o acesso dos hackers. "A reinicialização física do dispositivo, desconectando-o da energia, foi confirmada como uma medida eficaz para impedir que o Line Runner se reinstale."
A campanha de hacking conhecida como ArcaneDoor é apenas a mais recente de uma série de invasões que visam os equipamentos de perímetro, também chamados às vezes de dispositivos "edge", tais como servidores de e-mail, firewalls e VPNs. Estes dispositivos, embora destinados a fornecer segurança, muitas vezes apresentam vulnerabilidades que permitem aos hackers estabelecerem um ponto de entrada na rede da vítima.
Os pesquisadores da Talos da Cisco destacam essa tendência em seu relatório, mencionando redes altamente sensíveis que foram alvo por meio de dispositivos de borda nos últimos anos. “Ganhar acesso nesses dispositivos permite que um ofensor pivote diretamente em uma organização, redirecione ou modifique o tráfego e monitore as comunicações de rede.” “Nos últimos dois anos,assistimos a um aumento dramático e sustentado da segmentação destes dispositivos em áreas como os fornecedores de telecomunicações e as organizações do setor energético, entidades de infraestruturas críticas que são provavelmente alvos estratégicos de interesse para muitos governos estrangeiros.”
A mudança dos hackers financiado por Estados para comprometer os dispositivos de borda tornou-se mais evidente no ano passado. A empresa de segurança Mandiant, de propriedade do Google, também destaque em seu relatório anual M-Trends no início desta semana, com base na inteligência de ameaças e nas descobertas de resposta a incidentes da empresa.
O relatório aponta para vulnerabilidades amplamente exploradas em dispositivos de borda de rede vendidos por Barracuda e Ivanti e observa que hackers e grupos chineses especificamente focados em espionagem estão criando malware personalizado para dispositivos de borda, em parte porque muitas redes têm pouca ou nenhuma maneira de monitorar o comprometimento dos dispositivos. Detectar o acesso dos hackers ArcaneDoor aos dispositivos Cisco ASA, em particular, é “incrivelmente difícil,” de acordo com o comunicado do NCSC do Reino Unido.
Mandiant observou que hackers financiado pelo Estado russo também tem mirado em dispositivos de borda. "Observa-se a unidade de inteligência militar GRU da Rússia, conhecida como Sandworm, realizando repetidos ataques a dispositivos de borda utilizados por organizações ucranianas. O objetivo é obter e manter acesso a essas redes, muitas vezes para perpetrar ataques cibernéticos que resultam na destruição de dados. Em alguns casos, a falta de visibilidade e monitoramento desses dispositivos de borda permitiu que o Sandworm limpasse uma rede enquanto mantinha o controle sobre um dispositivo de borda, possibilitando que ele atingisse a mesma rede novamente."
"Seu foco é sistematicamente direcionado aos dispositivos de segurança localizados na periferia, que fornecem acesso ao restante da rede," afirma John Hultquist, chefe de inteligência de ameaças da Mandiant. "Isso já não é mais uma tendência emergente, está firmemente estabelecido."
Hultquist observa, no entanto, que a China se destaca na descoberta e utilização de vulnerabilidades zero-day em dispositivos de rede, como aquelas que foram exploradas para penetrar os firewalls da Cisco nos últimos meses. Ele antecipa que mais dessas atividades ocorrerão, à medida que os hackers chineses continuam a adaptar dispositivos de segurança para servirem aos seus interesses, em vez de protegerem as redes alvo.
"É altamente improvável que essas vulnerabilidades zero-day sejam descobertas ao acaso. Suspeitamos que haja um esforço coordenado e bem financiado em curso para identificar e explorar essas falhas," diz Hultquist. "Infelizmente, é quase certo que veremos mais vulnerabilidades zero-day em dispositivos de segurança neste ano."
Via - Wired
Kommentare