O Centro Canadense de Segurança Cibernética (CCCS), a Divisão de Segurança Cibernética da Australian Signal Defense Directorate (ASD) e o Centro Nacional de Segurança Cibernética do Reino Unido (NCSC) estão alertando que um grupo de hackers desconhecido que se acredita ser apoiado pelo Estado tem como alvo redes governamentais em todo o mundo.
Sabe-se que os ataques são realizados através de vulnerabilidades nos firewalls da Cisco e possivelmente através de falhas em equipamentos de rede fornecidos por outras empresas, incluindo a Microsoft. A Cisco deu aos ataques cibernéticos o codinome ArcaneDoor (outros nomes são UAT4356 e STORM-1849).
Imagem Fonte: Pixabay.com
A atividade maliciosa foi descoberta pela primeira vez em janeiro deste ano, quando um dos clientes da Cisco relatou atividades suspeitas na sua infraestrutura de TI. A investigação subsequente mostrou que os ataques cibernéticos foram realizados pelo menos desde novembro de 2023. Várias vítimas foram identificadas – todas elas associadas a organizações governamentais em diferentes países.
Diz-se que o misterioso grupo de hackers usou ferramentas especiais que “demonstram um foco claro na espionagem” e um profundo conhecimento da arquitetura e dos princípios operacionais dos dispositivos alvo. Esta é, segundo os especialistas, a marca registrada dos sofisticados cibercriminosos patrocinados pelo Estado.
Os ataques, em particular, são realizados através de vulnerabilidades em equipamentos Cisco Adaptive Security Appliance (ASA) e Firepower Threat Defense (FTD). As falhas são relatadas em CVE-2024-20353 e CVE-2024-20359, com classificações de gravidade CVSS de 8,6 e 6,0, respectivamente. A primeira das vulnerabilidades permite que um invasor remoto não autenticado lance um ataque DoS. A segunda vulnerabilidade permite que um invasor local autenticado execute código arbitrário com privilégios de root.
Depois de comprometer os dispositivos das vítimas, os invasores implantam dois implantes maliciosos – Line Dancer e Line Runner – para baixar e executar shellcode arbitrário e contornar sistemas de segurança. A Cisco já lançou correções para essas vulnerabilidades.