Des hackers ont ciblé des équipements Cisco pour accéder à des réseaux gouvernementaux

Des chercheurs en cybersécurité ont identifié une campagne malveillante dans les équipements réseau de plusieurs fournisseurs, dont Cisco, pour déployer des malwares personnalisés et collecter secrètement des données sur des réseaux gouvernementaux. La campagne, baptisée ArcaneDoor par la société de cybersécurité Cisco Talos, a ciblé les dispositifs de protection d’un périmètre réseau, en l’occurrence des pare-feu ou VPN.

Une “augmentation soutenue du ciblage” dans les télécoms et l’énergie

“Les dispositifs de périmètre réseau constituent le point d’intrusion idéal pour les campagnes d’espionnage (…), souligne le rapport de Cisco Talos. Au cours des deux dernières années, nous avons assisté à une augmentation spectaculaire et soutenue du ciblage de ces appareils dans le domaine des fournisseurs de télécoms et les organisations du secteur de l’énergie – des entités d’infrastructures critiques qui sont probablement des cibles d’intérêt pour de nombreux gouvernements étrangers.”

Cisco a été alerté d’une activité suspecte sur un de ses appareils de sécurité adaptatifs (ASA) en janvier 2024. Les chercheurs ont ensuite identifié un “petit ensemble de clients”, impliquant tous “des réseaux gouvernementaux à l’échelle mondiale”. Les hackers ont en réalité travaillé sur la cyberattaque dès juillet 2023, avant de contrôler une première infrastructure en novembre.

Les hackers ont mené deux attaques 0-day, qui exploitent des failles de sécurité jusqu’alors inconnues pour accéder à un système. La première vulnérabilité (CVE-2024-20353) provient d’une erreur lors de l’analyse d’une requête HTTP, permettant aux hackers d’exécuter des commandes sur l’appareil compromis. Avec la deuxième vulnérabilité (CVE-2024-20359), les pirates informatiques pouvaient charger des clients VPN et des plug-ins en avance, pour exécuter du code arbitraire avec des privilèges de niveau root.

Des capacités “révélatrices d’un espionnage”

Les chercheurs en cybersécurité de Cisco Talos ont attribué cette cyberattaque à un acteur malveillant jusqu’ici non documenté, baptisé UAT4356, ou Storm-1849 par Microsoft. “UAT4356 a déployé deux portes dérobées dans le cadre de cette campagne, “Line Runner” et “Line Dancer”, qui ont été utilisées collectivement pour mener des actions malveillantes sur la cible, notamment la modification de la configuration, la reconnaissance, la capture et exfiltration du trafic réseau et potentiellement des mouvements latéraux.”

Alors que “Line Dancer” permet aux cyberattaquants de télécharger et d’exécuter des charges utiles de code malveillant pour capturer le trafic Internet et brouiller leurs traces, “Line Runner” est une porte dérobée persistante, qui survit aux redémarrages et mises à jour. Selon un avis publié par les agences de cybersécurité d’Australie, du Canada et du Royaume-Uni, “ces capacités sont révélatrices d’un espionnage mené par un acteur sophistiqué et doté de ressources suffisantes, parrainé par l’État.”

Les routeurs Cisco particulièrement vulnérables

Cisco Talos met en garde : “Les informations provenant des partenaires de renseignement indiquent que l’acteur s’intéresse aux périphériques réseau de Microsoft et d’autres fournisseurs, et les attaques potentiellement.” Les trois patchs correctifs, dont deux jugés critiques, ont depuis été publiés, quel que soit le fournisseur d’équipement réseau.

Les appareils du numéro 1 du matériel réseau ont déjà été visés par des cybercriminels agissant pour le compte d’un État. En février dernier, des routeurs Cisco et Netgear en fin de vie avaient été infectés et utilisés par le groupe de hackers chinois Volt Typhoon. En juillet dernier, les agences de cybersécurité britanniques et américaines avaient mis en garde contre le groupe de hackers russes Fancy Bear, qui avait exploité des failles dans certains routeurs Cisco vulnérables pour effectuer des reconnaissances et déployer des malwares.