L’équipementier Cisco est une cible privilégiée des hackers de haut vol. Aussi, il n’est guère surprenant de voir le géant américain visé par une nouvelle attaque d’espionnage destinée à compromettre les réseaux gouvernementaux à travers le monde, comme le note l’entreprise.
Le constructeur vient de dévoiler les résultats de ses investigations, après avoir découvert deux vulnérabilités dans son système ASA (Adaptive Security Appliances). Ce terminal particulièrement sensible combine des capacités de pare-feu, d’antivirus, de prévention des intrusions et de réseau privé virtuel.
Deux portes dérobées déployées ensuite
Alerté par un client début 2024, Cisco a découvert un groupe sophistiqué d’attaquants qui ont réussi à infiltrer ce produit en exploitant deux vulnérabilités. Une fois dans le système d’information de leurs victimes, ces dernières, également intéressées par les serveurs de messagerie de Microsoft Exchange, pourraient alors déployer deux portes dérobées pour y revenir plus facilement, baptisées « Lune Runner » et « Line Dancer ».
Une telle attaque a clairement été menée par un acteur malveillant parrainé par l’État, surnommé « UAT4356 » par Cisco. Mais l’industriel n’est pas allé plus loin dans le domaine de l’attribution. Cependant, des sources proches de l’enquête ont déclaré au magazine Wired que la campagne malveillante semblait conforme aux intérêts de la Chine.
Le modus operandi a aussi un air de déjà-vu qui oriente les soupçons vers Pékin. Il y a quelques mois par exemple, Mandiant signalait des tentatives de compromission des équipements Ivanti par des acteurs malveillants liés à la Chine, un pare-feu parfait pour ce genre d’attaque sur la supply chain.
Point d’intrusion idéal
Comme les produits Ivanti, le dispositif ASA de Cisco est « le point d’intrusion idéal pour les campagnes d’espionnage », reconnaît l’industriel. « Prendre pied sur ces appareils permet à un acteur de pivoter directement au sein d’une organisation, de rediriger ou de modifier le trafic et de surveiller les communications réseau », ajoute-t-il.
Cependant, les deux vulnérabilités critiques viennent d’être corrigées. Il convient d’appliquer d’abord les mises à jour de sécurité, avant de déconnecter ensuite les équipements pour mener des actions d’investigation et de remédiation, rappelle le Cert-FR.
Selon la chronologie utilisée par Cisco, les pirates malveillants n’ont pas eu beaucoup de temps pour opérer. La plupart des activités suspectes ont eu lieu entre décembre 2023 et janvier 2024, bien que l’industrie estime que les portes dérobées ont été testées et développées en juillet 2023.
