C’è preoccupazione tra gli esperti di cyber security per un’operazione di cyber spionaggio su ampia scala attiva da gennaio 2024: un nuovo gruppo di hacker sponsorizzato da uno Stato e ribattezzato ArcaneDoor sta, infatti, sfruttando due vulnerabilità zero-day nelle apparecchiature di rete Cisco.
Sono stati gli stessi analisti di Cisco Talos a lanciare l’allarme sulle attività malevoli del gruppo di hacker (identificato come UAT4356 da Cisco Talos e STORM-1849 da Microsoft) che, da novembre 2023, ha iniziato a sfruttare le due falle nei firewall Adaptive Security Appliance (ASA) e Firepower Threat Defense (FTD) avendo come principale obiettivo le reti governative in tutto il Mondo.
Sebbene non sia ancora stato determinato il vettore di attacco iniziale, Cisco ha prontamente risolto le due gravi vulnerabilità di sicurezza tracciate come CVE-2024-20353 e CVE-2024-20359.
Secondo il bollettino di sicurezza pubblicato dal CSIRT Italia, la stima d’impatto delle vulnerabilità è grave/rosso (77,69/100).
Qualora venissero sfruttate, le due vulnerabilità zero-day potrebbero consentire agli attaccanti l’esecuzione di codice arbitrario e attacchi di Denial of Service (DoS) con conseguente interruzione dei servizi nelle reti target.
Si tratta, dunque, di “vulnerabilità che è necessario indirizzare quanto prima, visti i target, ossia device che sono spesso le prime linee di difesa; visto l’impatto non banale e vista la conferma di attacchi che le stanno sfruttando, l’unica cosa da fare è seguire le indicazioni del vendor che ha rilasciato degli aggiornamenti software che sanano i problemi riscontrati”, ci dice Giuseppe Dongu, Advisory Operations Leader di Tinexta Cyber.
Indice degli argomenti
Tecnologie avanzate usate nella campagna ArcaneDoor
La sofisticazione dell’operazione ArcaneDoor è evidenziata dall’uso di malware sconosciuti fino ad ora che hanno permesso di mantenere una persistenza sui dispositivi ASA e FTD compromessi.
Lo scopo degli attaccanti, secondo Fabrizio Vacca, MSS Operations Director di Tinexta Cyber, è “guadagnare accesso e persistenza in dispositivi critici per la sicurezza e per il traffico di una organizzazione”.
In particolare, fa notare Vacca, “la campagna si compone di due elementi: il Line Dancer e il Line Runner. Il primo è un impianto memory-resident utilizzato per controllare remotamente i dispositivi attaccati; il secondo assicura la persistenza dell’attacco sfruttando una vulnerabilità che consente l’esecuzione al boot di codice arbitrario con privilegi di root”.
“Attraverso l’utilizzo dei due meccanismi”, ci spiega ancora l’analista di Tinexta Cyber, “gli attaccanti sono in grado di modificare la configurazione dei dispositivi, catturare ed esfiltrare il traffico di rete, guadagnare l’accesso e facilitare i movimenti laterali all’interno delle reti colpite”.
È evidente, dunque, che “si tratta di un attacco particolarmente sofisticato, come testimoniato dall’analisi svolta in primis da Cisco, che mostra come ogni dispositivo sia potenzialmente vulnerabile. Attacchi portati direttamente a dispositivi di sicurezza quali, ad esempio, quelli impattati da ArcaneDoor rendono ancora più strategica la presenza nelle aziende di strutture di security monitoring in grado di identificare quanto prima anomalie e situazioni pericolose per la continuità operativa”.
Ricordiamo, infatti, che l’Adaptive Security Appliance (ASA) di Cisco è un dispositivo di sicurezza di rete con funzionalità di firewall, antivirus, Virtual Private Network (VPN) e funzionalità di prevenzione di eventuali accessi non autorizzati.
Il Firepower Threat Defense (FTD) rappresenta, invece, la nuova generazione di dispositivi di sicurezza di Cisco capace di integrare le funzionalità dell’Adaptive Security Appliance con altri strumenti avanzati di prevenzione delle intrusioni e filtraggio del contenuto del sistema Cisco Firepower.
Misure di mitigazione degli attacchi ArcaneDoor
Di fronte alla minaccia della campagna ArcaneDoor, Cisco ha rilasciato aggiornamenti di sicurezza urgenti per mitigare le vulnerabilità sfruttate e “raccomanda vivamente” ai propri clienti di aggiornare i dispositivi con il software corretto.
Inoltre, l’azienda sottolinea l’importanza di monitorare i log di sistema per qualsiasi segno di riavvii non programmati, modifiche non autorizzate alla configurazione o attività sospette relative alle credenziali.
In particolare, come riportato dal CSIRT Italia, Cisco ha reso disponibili anche delle utili linee guida per rilevare un’eventuale compromissione dei propri sistemi e ripristinare l’integrità dei dispositivi di rete potenzialmente compromessi.
Inoltre, Cisco Talos ha pubblicato anche gli indicatori di compromissione (IoC) di ArcaneDoor, fornendo tutti i dettagli oggi disponibili sulle tattiche, tecniche e procedure di attacco (TTPs) e un set completo di risorse per rilevare e bloccare l’attacco.
Raccomandazioni di cyber hygiene
Alla luce di quanto visto, è importante che le aziende e gli esperti di cyber security continuino a lavorare per rafforzare le difese contro attori malintenzionati sempre più sofisticati: di fronte a minacce come ArcaneDoor è fondamentale una gestione proattiva della sicurezza informatica.
Di fronte a queste minacce avanzate, infatti, le tradizionali misure di sicurezza informatica si rivelano spesso insufficienti. La rapidità con cui gli attori malevoli sfruttano le nuove vulnerabilità richiede una vigilanza costante e un aggiornamento continuo delle difese.
Ciò include l’adozione di strumenti avanzati di rilevamento delle intrusioni, tecniche di threat hunting e lo sviluppo di una cultura della sicurezza informativa all’interno delle organizzazioni.
Inoltre, è fondamentale che le entità colpite da tali attacchi collaborino con le autorità nazionali e internazionali di cyber security. La condivisione tempestiva di informazioni sui nuovi vettori di attacco può aiutare a prevenire la diffusione dei danni e a rafforzare le difese collettive contro gli hacker sponsorizzati dallo stato. Solo attraverso un approccio collaborativo e proattivo sarà possibile contrastare efficacemente questa minaccia in continua evoluzione.
La lotta contro gli attacchi informatici sponsorizzati dallo stato richiede, dunque, un impegno costante e un aggiornamento delle strategie di difesa. Le organizzazioni devono essere sempre all’avanguardia nella tecnologia di sicurezza e nella formazione del personale, anticipando le mosse degli avversari per proteggere i propri asset digitali e le informazioni sensibili.
Nel caso particolare, secondo Marco Capelli, Implementation Service Operations Director di Tinexta Cyber, “la gestione delle vulnerabilità, la loro messa in priorità e la loro gestione siano una delle sfide più importanti che le aziende devono affrontare in questo momento”.
“La trasformazione digitale”, continua l’analista, “impone di mettere a disposizione e di usufruire di numerosi servizi su tecnologie e piattaforme quanto mai variegate e distribuite ed il perimetro delle vulnerabilità possibili diventa sempre più ampio”.
Infine, secondo Capelli, “l’approccio alle vulnerabilità e la loro gestione devono diventare un processo prioritario e consolidato all’interno di tutte le aziende: oggi sono molti gli strumenti a disposizione per gestire questo processo fondamentale, ma solo la loro scelta corretta in base alle caratteristiche aziendali e un’implementazione precisa possono portare a una riduzione sensibile del rischio”.
