ArcaneDoor
A Talos jelentése szerint az ArcaneDoor egy olyan kampány, amely a legújabb példa arra, hogy az államilag támogatott szereplők több gyártó peremhálózati eszközeit veszik célba. Az ilyen szereplők által áhított peremhálózati eszközök tökéletes behatolási pontot jelentenek a kémkedésre összpontosító kampányok számára. Mivel ezek az eszközök a hálózatba érkező és onnan kimenő adatok kritikus útvonalát jelentik, ezeket az eszközöket rendszeresen és azonnal javítani kell; naprakész hardver- és szoftververziókat és konfigurációkat kell használni; és biztonsági szempontból szorosan figyelemmel kell kísérni őket. Ha egy szereplő megveti a lábát ezeken az eszközökön, akkor közvetlenül bejuthat egy szervezetbe, átirányíthatja vagy módosíthatja a forgalmat, és megfigyelheti a hálózati kommunikációt. Az elmúlt két évben drámai és tartós növekedést tapasztaltunk az ilyen eszközök célba vételében olyan területeken, mint a távközlési szolgáltatók és az energiaágazat szervezetei – olyan kritikus infrastrukturális egységek, amelyek valószínűleg számos külföldi kormány számára stratégiai célpontok.
2024 elején egy éber ügyfél felkereste a Cisco Product Security Incident Response Team-et (PSIRT) és a Cisco Talos-t, hogy megvitassa a Cisco Adaptive Security Appliances (ASA) biztonsági problémáit. A PSIRT és a Talos közösen indított vizsgálatot az ügyfél megsegítésére. A vizsgálat során, amely végül több külső hírszerző partnert is bevont és több hónapon át tartott, azonosítottunk egy korábban ismeretlen szereplőt, akit a Talos UAT4356 néven, a Microsoft Threat Intelligence Center pedig STORM-1849 néven követett nyomon. Ez a szereplő olyan egyedi eszközöket használt, amelyek egyértelműen a kémkedésre összpontosítottak, és alaposan ismerték a célba vett eszközöket, ami egy kifinomult, államilag támogatott szereplő jellemzője.
Az UAT4356 két backdoort, a Line Runner-t és a Line Dancer-t telepített a kampány részeként, amelyeket együttesen használtak a célponton belüli rosszindulatú tevékenységek végrehajtására, amelyek magukban foglalták a konfiguráció módosítását, a felderítést, a hálózati forgalom rögzítését/szűrését és potenciálisan az oldalirányú mozgást.
A jelentés kiterjedt technikákat és mutatókat tartalmaz, amelyeket az ASA-felhasználók alkalmazhatnak annak megállapítására, hogy a folyamatban lévő kampány célpontja vagy megfertőződése támadta-e meg őket. A VPN-eket és a tűzfal nulladik napját célzó legújabb kampányok gyakran sikerrel jártak, mert sikeresen kihasználták a sebezhetőséget, mielőtt a rendszergazdák javításokat telepítettek volna. A lényeg az, hogy a lehetséges kompromisszumok kivizsgálásának prioritása és a biztonsági frissítések telepítése a tanácsadás első 24 órájában kulcsfontosságú.
A rendszergazdáknak emlékezniük kell arra is, hogy az UAT4356 általi kezdeti hozzáférés módját még meg kell határozni, így valószínű, hogy az ASA sebezhetőségeinek javítása valószínűleg csak a helyreállítási folyamat kezdete, és nem a vége.