Специалисты по кибербезопасности из Канады, Австралии и Великобритании предупреждают о хакерских атаках на правительственные компьютерные сети по всему миру.

Предположительно, за кибератаками стоит хакерская группировка, связанная с одним из государств. Злоумышленники проникают в сети через уязвимости в межсетевых экранах Cisco и, возможно, используют бреши в сетевом оборудовании других производителей, включая Microsoft.

Корпорация Cisco присвоила этим кибератакам кодовое название ArcaneDoor (также известны как UAT4356 и STORM-1849). Вредоносная активность была впервые замечена в январе 2024 года, когда один из клиентов Cisco сообщил о подозрительных действиях в своей ИТ-инфраструктуре. Дальнейшее расследование показало, что атаки ведутся как минимум с ноября 2023 года. Уже выявлены несколько жертв среди государственных организаций разных стран.

Согласно данным экспертов, загадочная хакерская группа использует специальные инструменты для кибершпионажа, демонстрируя глубокое понимание архитектуры и принципов работы атакуемых устройств. Это считается отличительной чертой опытных киберпреступников, поддерживаемых на государственном уровне.

Одна из целей злоумышленников - межсетевые экраны Cisco Adaptive Security Appliance (ASA) и Firepower Threat Defense (FTD), в которых имеются уязвимости CVE-2024-20353 и CVE-2024-20359 с рейтингами опасности 8.6 и 6.0 соответственно.

Первая брешь позволяет удаленному хакеру организовать DDoS-атаку, вторая дает возможность локальному злоумышленнику с доступом запускать вредоносный код с привилегиями root. После получения контроля над устройствами жертв, хакеры внедряют два вредоносных implant'а - Line Dancer и Line Runner для загрузки и выполнения произвольных команд, а также обхода систем кибербезопасности. Cisco уже выпустила патчи, закрывающие указанные уязвимости.

Источник: servernews.ru