Der Gerätehersteller Cisco ist Ein Hauptziel hochfliegender Hacker. Außerdem ist es kaum verwunderlich, dass der amerikanische Riese Ziel eines neuen Spionageangriffs ist, der darauf abzielt, Regierungsnetzwerke auf der ganzen Welt zu kompromittieren, Wie das Unternehmen anmerkt.
Der Hersteller hat gerade die Ergebnisse seiner Untersuchungen bekannt gegeben, nachdem er zwei Schwachstellen in seinem ASA-System (Adaptive Security Appliances) entdeckt hatte. Dieses besonders sensible Terminal vereint Firewall-, Antiviren-, Intrusion Prevention- und Virtual Private Network-Funktionen.
Als nächstes werden zwei Hintertüren eingesetzt
Cisco wurde Anfang 2024 von einem Kunden alarmiert und entdeckte eine raffinierte Gruppe von Angreifern, denen es gelang, dieses Produkt zu infiltrieren, indem sie zwei Schwachstellen ausnutzten. Einmal im Informationssystem ihrer Opfer angekommen, könnten diese, die auch an den Microsoft Exchange-Mailservern interessiert sind, zwei Hintertüren namens „Lune Runner“ und „Line Dancer“ einsetzen, um einfacher zurückkehren zu können.
Ein solcher Angriff wurde eindeutig von einem staatlich geförderten böswilligen Akteur durchgeführt, der von Cisco „UAT4356“ genannt wird. Aber der Industrielle ging im Bereich der Zuschreibung nicht weiter. Allerdings teilten Quellen, die mit der Untersuchung vertraut sind, dem Magazin mit Verdrahtet dass die böswillige Kampagne offenbar im Einklang mit den Interessen Chinas stand.
Die Vorgehensweise hat auch etwas von einem Déjà-vu, das den Verdacht auf Peking lenkt. Vor einigen Monaten berichtete Mandiant beispielsweise über Versuche, Ivanti-Geräte durch böswillige Akteure mit Verbindungen zu China zu kompromittieren – eine perfekte Firewall für diese Art von Angriffen auf die Lieferkette.
Idealer Einbruchspunkt
Wie Ivanti-Produkte sei auch das ASA-Gerät von Cisco „der ideale Einbruchspunkt für Spionagekampagnen“, stimmt der Industrielle zu. „Wenn ein Akteur auf diesen Geräten Fuß fasst, kann er sich direkt innerhalb einer Organisation bewegen, den Datenverkehr umleiten oder ändern und die Netzwerkkommunikation überwachen“, fügt er hinzu.
Die beiden kritischen Schwachstellen wurden jedoch gerade behoben. Es sei ratsam, zunächst Sicherheitsupdates durchzuführen, bevor man dann die Geräte abschalte, um Untersuchungen und Abhilfemaßnahmen durchzuführen, erinnert Cert-FR.
Laut der von Cisco verwendeten Zeitleiste hatten die böswilligen Hacker nicht viel Zeit zum Handeln. Die meisten verdächtigen Aktivitäten fanden zwischen Dezember 2023 und Januar 2024 statt, obwohl die Branche schätzt, dass die Hintertüren im Juli 2023 getestet und entwickelt wurden.
