שחקן בחסות המדינה מרגל בסייבר ומנצל שתי חולשות של סיסקו

שחקן איומים, הפועל בחסות המדינה, השיק קמפיין מתוחכם של ריגול בסייבר. המסע נעשה תוך ניצול של שתי נקודות תורפה בפלטפורמות הפיירוול של סיסקו (Cisco), כך לפי טאלוס (Talos), מודיעין האיומים של ענקית ה-IT.

הקמפיין, המכונה ArcaneDoor, מכוון להתקנים הנמצאים ברשת ההיקפית של הארגונים, ומאפשר לתוקף לבצע מגוון פעולות בתוך מערכות הארגון – כולל ניתוב מחדש, או שינוי של התעבורה, כמו גם ניטור תקשורת רשתית.

לפי סיסקו, שחקן האיומים הוא UAT4356, ומרכז האיומים של מיקרוסופט (Microsoft) כינה אותו STORM-1849.

"שחקן זה עושה שימוש בכלים מותאמים אישית, הממחישים את המיקוד לטובת ריגול בסייבר, והוא בעל היכרות מעמיקה של המכשירים אליהם הוא מכוון את המתקפות. זהו אחד מסימני ההיכר של שחקן מתוחכם, הפועל בחסות המדינה", כתבו חוקרי טאלוס.

🛡️ #CrushFTP, & #Cisco ASA & FTD users: We added #CVE-2024-4040, CVE-2024-20353 & CVE-2024-20359 to our Known Exploited Vulnerabilities Catalog. Visit https://t.co/myxOwap1Tf & apply mitigations to protect your org from cyberattacks. #Cybersecurity #InfoSec pic.twitter.com/3tRAf0wBeI

— CISA Cyber (@CISACyber) April 24, 2024

קנדה, אוסטרליה ובריטניה הזהירו מומחי IT ומנמ"רים מהאיום

החוקרים ציינו כי הקמפיין בא בהלימה למגמה של "עלייה דרמטית ומתמשכת" במיקוד של התוקפים בהתקני רשת היקפית בשנתיים האחרונות. "אלה", הוסיפו, "מכוונים במיוחד לארגוני תשתיות קריטיות, דוגמת חברות אנרגיה – שהן יעדים אסטרטגיים ומעניינים ממשלות זרות רבות".

החוקרים תיארו את שלבי המסע ואלה כוללים שרשרת תקיפה מתוחכמת, השתלת נוזקות מותאמות אישית, התקנת דלתות אחוריות ולאחר ההשתלטות על מחשבי הקורבן – יכולת לביצוע פקודות. יכולת נוספת של התוקפים שזוהתה על ידי החוקרים היא "להתגבר" על אתחולים ושדרוגים במערכות הקורבן – בלא פגיעה באיכות המתקפה.

אחד ממוצרי האבטחה של סיסקו, ASA (ר"ת Cisco Adaptive Security Appliance) זיהה פעילות חשודה בתחילת 2024, ולאחר שהחברה פתחה בחקירה, עלה כי ההאקרים בחסות המדינה עשו שימוש בתשתית התקיפה כבר בנובמבר האחרון. הם ציינו כי ישנן גם עדויות לכך שיכולת התקיפה פותחה כבר ביולי 2023. החוקרים זיהו חלק מהקורבנות, כאלה שעשו שימוש (או היו חלק מ) ברשתות ממשלתיות ברחבי העולם.

לפי החוקרים, וקטור ההתקפה הראשוני לא התגלה, אולם, כחלק ממסע הריגול שלו, שחקן האיום ניצל שתי נקודות תורפה שלא היו ידועות בעבר: CVE-2024-20353 ו-CVE-2024-20359. סיסקו הנפיקה תיקונים עבור פגיעויות אלו.

"האופי המתוחכם של הקמפיין, לצד זהות הקורבנות שהותקפו, הוביל אותנו להעריך בביטחון רב שהוא בוצע על ידי שחקן בחסות המדינה", סיכמו החוקרים ולא ציינו את זהות המדינה שבה מדובר. "ההאקרים נקטו בצעדים ברורים ומכוונים, כדי למנוע מהם להיתפס ולהיות מזוהים".

בסוף השבוע פורסמה הודעה משותפת, המזהירה מומחי IT ומנמ"רים מכל המגזרים מפני האיום, אשר קראה להם להטמיע את התיקונים שסיסקו ניפקה – ולעשות זאת באופן מיידי. את ההודעה פרסמו מערכי הסייבר הלאומיים של קנדה, אוסטרליה ובריטניה, ונאמר בה כי "יכולות התוקפים מעידות על ריגול שנערך על ידי שחקן מתוחכם ובעל משאבים, הפועל בחסות מדינה".