Questa operazione di spionaggio, denominata “ArcaneDoor”, ha preso di mira principalmente i servizi VPN utilizzati da governi ed entità di infrastrutture critiche a livello globale. Gli intrusi hanno sfruttato due vulnerabilità specifiche nei dispositivi Cisco Adaptive Security Appliance (ASA) e Firepower Threat Defense (FTD), identificate come CVE-2024-20353 e CVE-2024-20359. Queste vulnerabilità potrebbero permettere ad aggressori non autenticati e remoti di causare interruzioni e eseguire codice arbitrario con privilegi di livello root.
Gli attacchi informatici hanno comportato il dispiegamento di malware personalizzato, incluso l’impianto in memoria “Line Dancer”, utilizzato per caricare ed eseguire payload di shellcode arbitrari, e “Line Runner”, una web shell persistente che permette agli intrusi di mantenere l’accesso alle reti compromesse ed eseguire comandi.
I firewall compromessi sono stati sfruttati per attività quali la disabilitazione dei log, l’esecuzione e l’estrazione di configurazioni di comando, e l’iniziazione di connessioni VPN non autorizzate. Questo ha permesso agli attaccanti non solo di rubare informazioni sensibili ma anche di mantenere una presenza discreta all’interno delle reti target, eludendo le analisi forensi.
Questo incidente sottolinea le continue minacce poste da attori statali sofisticati, evidenziando la necessità critica di una maggiore vigilanza e di misure di cybersecurity robuste per proteggersi da minacce cyber così sofisticate.
Source: The Register
Per mitigare potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net o è possibile provarci da soli utilizzando check.website.