Cybersicherheitsforscher haben eine böswillige Kampagne in Netzwerkgeräten mehrerer Anbieter, darunter Cisco, identifiziert, um benutzerdefinierte Malware einzusetzen und heimlich Daten in Regierungsnetzwerken zu sammeln. Die vom Cybersicherheitsunternehmen Cisco Talos ArcaneDoor genannte Kampagne zielte auf die Schutzgeräte eines Netzwerkperimeters ab, in diesem Fall Firewalls oder VPNs.
Eine „nachhaltige Steigerung des Targetings“ in den Bereichen Telekommunikation und Energie
„Netzwerkperipheriegeräte bieten den idealen Angriffspunkt für Spionagekampagnen (…)“unterstreicht der Cisco Talos-Bericht. In den letzten zwei Jahren haben wir einen dramatischen und anhaltenden Anstieg der Angriffe auf diese Geräte im Bereich von Telekommunikationsanbietern und Organisationen des Energiesektors beobachtet – kritische Infrastruktureinrichtungen, die wahrscheinlich Ziele von „Interesse vieler ausländischer Regierungen“ sind.
Cisco wurde im Januar 2024 auf verdächtige Aktivitäten auf einer seiner Adaptive Security Appliances (ASA) aufmerksam gemacht. Forscher identifizierten anschließend eine „Kleiner Kundenkreis“alle einbeziehend „globale Regierungsnetzwerke“. Tatsächlich arbeiteten die Hacker ab Juli 2023 an dem Cyberangriff, bevor sie im November eine erste Infrastruktur kontrollierten.
Hacker haben zwei 0-Day-Angriffe durchgeführt, bei denen bisher unbekannte Sicherheitslücken ausgenutzt wurden, um Zugriff auf ein System zu erhalten. Die erste Schwachstelle (CVE-2024-20353) beruht auf einem Fehler beim Parsen einer HTTP-Anfrage, der es Hackern ermöglicht, Befehle auf dem kompromittierten Gerät auszuführen. Mit der zweiten Schwachstelle (CVE-2024-20359) könnten Hacker VPN-Clients und Plug-Ins vorab laden, um beliebigen Code mit Root-Rechten auszuführen.
Fähigkeiten zur „Aufdeckung von Spionage“
Cybersicherheitsforscher von Cisco Talos führten diesen Cyberangriff auf einen bisher undokumentierten böswilligen Akteur zurück, der von Microsoft UAT4356 oder Storm-1849 genannt wurde. „UAT4356 setzte im Rahmen dieser Kampagne zwei Hintertüren ein, „Line Runner“ und „Line Dancer“, die gemeinsam verwendet wurden, um böswillige Aktionen auf dem Ziel auszuführen, einschließlich Konfigurationsänderung, Aufklärung, Erfassung und Exfiltration von Netzwerkverkehr und potenzieller lateraler Bewegung. ”
Während „Line Dancer“ es Cyberangreifern ermöglicht, Schadcodes herunterzuladen und auszuführen, um den Internetverkehr abzufangen und ihre Spuren zu verwischen, ist „Line Runner“ eine hartnäckige Hintertür, die Neustarts und Updates übersteht. Laut einer von den Cybersicherheitsbehörden Australiens, Kanadas und des Vereinigten Königreichs veröffentlichten Empfehlung: „Diese Fähigkeiten weisen auf Spionage hin, die von einem erfahrenen, gut ausgestatteten und staatlich geförderten Akteur durchgeführt wird.“
Besonders anfällig sind Cisco-Router
Cisco Talos warnt: „Informationen von Geheimdienstpartnern deuten darauf hin, dass der Akteur an Netzwerkgeräten von Microsoft und anderen Anbietern interessiert ist und diese möglicherweise angreift.“ Die drei Korrekturpatches, darunter zwei als kritisch eingestufte, wurden inzwischen veröffentlicht, unabhängig vom Hersteller der Netzwerkausrüstung.
Die Geräte der Netzwerkhardware Nummer 1 wurden bereits von Cyberkriminellen im Auftrag eines Staates angegriffen. Im vergangenen Februar wurden ausgediente Cisco- und Netgear-Router infiziert und von der chinesischen Hackergruppe Volt Typhoon genutzt. Im vergangenen Juli warnten britische und amerikanische Cybersicherheitsbehörden vor der russischen Hackergruppe Fancy Bear, die Schwachstellen in bestimmten anfälligen Cisco-Router ausgenutzt hatte, um Aufklärung durchzuführen und Malware einzusetzen.
Ausgewählt für dich
