Aquesta operació d’espionatge, anomenada “ArcaneDoor”, va dirigir-se principalment als serveis VPN utilitzats per governs i entitats d’infraestructures crítiques a nivell mundial. Els intrusos van explotar dues vulnerabilitats específiques en els dispositius Cisco Adaptive Security Appliance (ASA) i Firepower Threat Defense (FTD), identificades com a CVE-2024-20353 i CVE-2024-20359. Aquestes vulnerabilitats podrien permetre a atacants remots no autenticats provocar interrupcions i executar codi arbitrari amb privilegis de nivell root.
Els ciberatacs van implicar la implementació de malware personalitzat, incloent l’implant en memòria “Line Dancer”, utilitzat per pujar i executar càrregues útils de shellcode arbitrari, i “Line Runner”, un web shell persistent que permet als intrusos mantenir l’accés a xarxes compromeses i executar comandaments.
Els firewalls compromesos van ser explotats per dur a terme activitats com desactivar els registres, executar i exfiltrar configuracions de comandaments i iniciar connexions VPN no autoritzades. Això va permetre als atacants no només robar informació sensible, sinó també mantenir una presència discreta dins les xarxes objectiu, evitant l’anàlisi forense.
Aquest incident subratlla les amenaces contínues que plantegen els sofisticats actors d’estat-nació, ressaltant la necessitat crítica de vigilància millorada i mesures de ciberseguretat robustes per protegir contra aquestes amenaçes cibernètiques sofisticades.
Source: The Register
Per mitigar amenaces potencials, és important implementar mesures addicionals de ciberseguretat amb l’ajuda d’un soci de confiança com INFRA www.infrascan.net o bé pots provar-ho tu mateix utilitzant check.website.