Les chercheurs en cybersécurité ont identifié une campagne malveillante dans les équipements réseau de plusieurs fournisseurs, dont Cisco, visant à déployer des logiciels malveillants personnalisés et à collecter secrètement des données sur les réseaux gouvernementaux. La campagne, baptisée ArcaneDoor par la société de cybersécurité Cisco Talos, ciblait les dispositifs de protection d’un périmètre réseau, en l’occurrence des pare-feu ou des VPN.
Une « hausse soutenue du ciblage » dans les télécoms et l’énergie
« Les dispositifs périmétriques du réseau constituent le point d’intrusion idéal pour les campagnes d’espionnage (…)souligne le rapport Cisco Talos. Au cours des deux dernières années, nous avons assisté à une augmentation spectaculaire et soutenue du ciblage de ces appareils dans le domaine des fournisseurs de télécommunications et des organisations du secteur de l’énergie – des entités d’infrastructures critiques qui sont probablement des cibles « d’intérêt pour de nombreux gouvernements étrangers ».
Cisco a été alerté d’une activité suspecte sur l’une de ses appliances de sécurité adaptatives (ASA) en janvier 2024. Les chercheurs ont ensuite identifié un « petit groupe de clients »impliquant tous « réseaux gouvernementaux mondiaux ». Les hackers ont effectivement travaillé sur la cyberattaque à partir de juillet 2023, avant de contrôler une première infrastructure en novembre.
Les pirates ont mené deux attaques 0-day, qui exploitent des vulnérabilités de sécurité jusqu’alors inconnues pour accéder à un système. La première vulnérabilité (CVE-2024-20353) provient d’une erreur lors de l’analyse d’une requête HTTP, permettant aux pirates d’exécuter des commandes sur l’appareil compromis. Avec la deuxième vulnérabilité (CVE-2024-20359), les pirates pourraient précharger les clients VPN et les plug-ins pour exécuter du code arbitraire avec des privilèges de niveau racine.
Des capacités « révélatrices d’espionnage »
Les chercheurs en cybersécurité de Cisco Talos ont attribué cette cyberattaque à un acteur malveillant jusqu’alors non documenté baptisé UAT4356, ou Storm-1849 par Microsoft. “UAT4356 a déployé deux portes dérobées dans le cadre de cette campagne, « Line Runner » et « Line Dancer », qui ont été utilisées collectivement pour mener des actions malveillantes sur la cible, notamment la modification de la configuration, la reconnaissance, la capture et l’exfiltration du trafic réseau et potentiellement des mouvements latéraux. »
Alors que « Line Dancer » permet aux cyberattaquants de télécharger et d’exécuter des charges utiles de code malveillant pour capturer le trafic Internet et brouiller leurs traces, « Line Runner » est une porte dérobée persistante, survivant aux redémarrages et aux mises à jour. Selon un avis publié par les agences de cybersécurité d’Australie, du Canada et du Royaume-Uni, « Ces capacités sont révélatrices d’un espionnage mené par un acteur sophistiqué, doté de ressources suffisantes et parrainé par l’État. »
Les routeurs Cisco particulièrement vulnérables
Cisco Talos met en garde : “Les informations provenant des partenaires du renseignement indiquent que l’acteur s’intéresse aux périphériques réseau de Microsoft et d’autres fournisseurs et les attaque potentiellement.” Les trois correctifs, dont deux jugés critiques, ont depuis été publiés, quel que soit l’éditeur de l’équipement réseau.
Les appareils du matériel réseau numéro 1 ont déjà été ciblés par des cybercriminels agissant pour le compte d’un Etat. En février dernier, des routeurs Cisco et Netgear en fin de vie ont été infectés et utilisés par le groupe de hackers chinois Volt Typhoon. En juillet dernier, les agences de cybersécurité britanniques et américaines ont mis en garde contre le groupe de hackers russe Fancy Bear, qui avait exploité des failles de certains routeurs Cisco vulnérables pour effectuer des reconnaissances et déployer des malwares.
