Компания Cisco предупредила, что с ноября 2023 года группа «правительственных хакеров» использует две уязвимости нулевого дня в межсетевых экранах Adaptive Security Appliance (ASA) и Firepower Threat Defense (FTD) для взлома государственных сетей по всему миру.
Специалисты Cisco Talos отслеживают эту группировку под идентификатором UAT4356, а в классификации Microsoft она известна как STORM-1849. Текущая шпионская кампания, начавшая в ноябре 2023 года, отслеживается исследователями под именем ArcaneDoor.
Cisco стало известно об ArcaneDoor в начале января 2024 года, когда были найдены доказательства того, что злоумышленники тестировали и разрабатывали эксплоиты для уязвимостей с июля 2023 года. Хотя Cisco еще не определила начальный вектор атаки, компания сообщает, что обнаружила и исправила две упомянутые проблемы: CVE-2024-20353 (отказ в обслуживании) и CVE-2024-20359 (устойчивое локальное выполнение кода). Злоумышленники использовали эти баги в качестве 0-day.
Уязвимости позволяли атакующим внедрять ранее неизвестные вредоносные программы в системы жертв и закрепляться на взломанных устройствах ASA и FTD.
Один из вредоносов, Line Dancer, представлял собой загрузчик шелл-кода в память, который помогал доставлять и выполнять произвольные полезные нагрузки для отключения протоколирования, предоставления удаленного доступа и передачи перехваченных пакетов.
Второй вредонос, это устойчивый бэкдор под названием Line Runner, оснащенный многочисленными механизмами защиты от обнаружения и позволяющий злоумышленникам выполнять произвольный Lua-код на взломанных системах.
«Злоумышленники использовали специализированный инструментарий, который свидетельствует о явной нацеленности на шпионаж и глубоком знании атакованных устройств, что является отличительными признаками опытных спонсируемых государством субъектов, — пишут в Cisco. — В рамках этой кампании UAT4356 развернули два бэкдора, Line Runner и Line Dancer, которые в совокупности использовались для осуществления вредоносных действий, включая изменение конфигурации, разведку, перехват/эксфильтрацию сетевого трафика и, вероятно, боковое перемещение».
Одновременно с Cisco собственное предупреждение обнародовали и Национальный центр кибербезопасности Великобритании (NCSC), Канадский центр кибербезопасности (Cyber Centre) и Австралийский центр кибербезопасности (ACSC). Представители властей сообщили, что злоумышленники использовали полученный доступ для:
- генерации текстовых версий конфигурационных файлов устройств, с целью их хищения через веб-запросы;
- контроля над включением и отключением службы syslog для маскировки дополнительных команд;
- изменения настроек аутентификации, авторизации и аудита (AAA) таким образом, чтобы устройства, подконтрольные злоумышленникам и соответствующие определенному идентификатору, могли получить доступ к атакованной среде.
Так как компания уже выпустила обновления для устранения обеих уязвимостей, она настоятельно рекомендует всем клиентам обновить свои устройства, чтобы предотвратить любые возможные атаки.
Администраторам Cisco также рекомендуется отслеживать системные журналы на предмет любых незапланированных перезагрузок, несанкционированных изменений конфигурации или подозрительной активности с учетными данными.
