Les appareils de sécurité réseau comme les pare-feu sont destinés à empêcher les pirates d’entrer. Au lieu de cela, les intrus numériques les ciblent de plus en plus comme étant le maillon faible qui leur permet de piller les systèmes mêmes que ces appareils sont censés protéger. Dans le cas d'une campagne de piratage informatique au cours des derniers mois, Cisco révèle maintenant que ses pare-feu ont servi de tête de pont à des pirates informatiques sophistiqués pénétrant dans plusieurs réseaux gouvernementaux à travers le monde.
Mercredi, Cisco averti que ses soi-disant dispositifs de sécurité adaptatifs (des dispositifs intégrant un pare-feu et un VPN avec d'autres fonctionnalités de sécurité) avaient été ciblés par des espions parrainés par l'État qui ont exploité deux vulnérabilités zero-day dans l'équipement du géant des réseaux pour compromettre les cibles gouvernementales à l'échelle mondiale dans le cadre d'une campagne de piratage ça appelle ArcaneDoor.
Les pirates informatiques à l'origine de ces intrusions, que la division de sécurité de Cisco, Talos, appelle UAT4356 et que les chercheurs de Microsoft qui ont contribué à l'enquête ont nommé STORM-1849, ne peuvent pas être clairement liés à des incidents d'intrusion antérieurs suivis par les entreprises. Toutefois, compte tenu de l'orientation et de la sophistication du groupe en matière d'espionnage, Cisco affirme que le piratage semble être parrainé par l'État.
“Cet acteur a utilisé des outils sur mesure qui démontraient une concentration claire sur l'espionnage et une connaissance approfondie des appareils qu'ils ciblaient, caractéristiques d'un acteur sophistiqué parrainé par l'État”, lit-on dans un article de blog des chercheurs Talos de Cisco.
Cisco a refusé de dire quel pays il pensait être responsable de ces intrusions, mais des sources proches de l'enquête ont déclaré à WIRED que la campagne semble être alignée sur les intérêts de l'État chinois.
Cisco affirme que la campagne de piratage a commencé dès novembre 2023, la majorité des intrusions ayant eu lieu entre décembre et début janvier de cette année, lorsqu'elle a appris l'existence de la première victime. « L'enquête qui a suivi a identifié d'autres victimes, qui impliquaient toutes des réseaux gouvernementaux à l'échelle mondiale », indique le rapport de la société.
Lors de ces intrusions, les pirates ont exploité deux vulnérabilités récemment découvertes dans les produits ASA de Cisco. L'un d'entre eux, appelé Line Dancer, permet aux pirates d'exécuter leur propre code malveillant dans la mémoire des appareils réseau, leur permettant ainsi d'émettre des commandes aux appareils, notamment la possibilité d'espionner le trafic réseau et de voler des données. Une deuxième vulnérabilité, que Cisco appelle Line Runner, permettrait au malware des pirates de conserver son accès aux appareils cibles même lorsque ceux-ci sont redémarrés ou mis à jour.
Cisco a publié des mises à jour logicielles pour corriger les deux vulnérabilités, et conseille que les clients les mettent en œuvre immédiatement, ainsi que d'autres recommandations permettant de détecter s'ils ont été ciblés.
La campagne de piratage ArcaneDoor ne représente que la dernière série d'intrusions visant à cibler des applications périmétriques de réseau, parfois appelées appareils « de pointe », comme les serveurs de messagerie, les pare-feu et les VPN (souvent des appareils destinés à assurer la sécurité) dont les vulnérabilités ont permis aux pirates d'obtenir un point de transit à l'intérieur. le réseau d'une victime. Les chercheurs de Cisco Talos mettent en garde contre cette tendance plus large dans leur rapport, faisant référence aux réseaux hautement sensibles qu'ils ont vu ciblés via des appareils de pointe ces dernières années. « Prendre pied sur ces appareils permet à un acteur de s’insérer directement dans une organisation, de rediriger ou de modifier le trafic et de surveiller les communications réseau », écrivent-ils. « Au cours des deux dernières années, nous avons constaté une augmentation spectaculaire et soutenue du ciblage de ces appareils dans des domaines tels que les fournisseurs de télécommunications et les organisations du secteur de l’énergie – des entités d’infrastructures critiques qui sont probablement des cibles stratégiques d’intérêt pour de nombreux gouvernements étrangers. »