En un reciente y audaz movimiento, un grupo de hackers logró burlar las avanzadas tecnologías de seguridad de Cisco, una de las líderes mundiales en soluciones de TI y redes, para infiltrarse en las redes de varios gobiernos alrededor del mundo. Los investigadores del hackeo creen que China podría estar implicada en la explotación dirigida de dos vulnerabilidades de día cero en dispositivos de seguridad de Cisco.
Los dispositivos de seguridad de redes, como firewalls, están diseñados para proteger contra ataques cibernéticos. Sin embargo, cada vez más, estos dispositivos se están convirtiendo en los puntos vulnerables que permiten a los hackers acceder a los sistemas que deberían estar protegiendo. Recientemente, Cisco ha informado que en una campaña de hackeo ocurrida en los últimos meses, sus firewalls fueron explotados como puntos de entrada para comprometer varias redes gubernamentales a nivel mundial.
El miércoles 24 de abril de 2024, Cisco alertó sobre ataques a sus Dispositivos de Seguridad Adaptativa, que combinan funciones de firewall, VPN y otras medidas de seguridad. Estos dispositivos fueron el objetivo de espías respaldados por estados, que utilizaron dos vulnerabilidades de día cero para infiltrarse en los sistemas de importantes objetivos gubernamentales globalmente, en una operación de espionaje denominada "ArcaneDoor".
Conoce más sobre: Detección de Ataques Zero-Day con Wazuh
Los responsables de las intrusiones, identificados por la división de seguridad de Cisco, Talos, como UAT4356 y por investigadores de Microsoft como STORM-1849, no habían sido vinculados claramente a incidentes previos rastreados por estas empresas. No obstante, dada la naturaleza y la sofisticación del espionaje ejecutado por este grupo, Cisco cree que el ataque fue patrocinado por un Estado.
"Este actor utilizó herramientas personalizadas, mostrando un interés específico en el espionaje y un conocimiento profundo de los dispositivos atacados, características típicas de un agente avanzado respaldado por un Estado", según un post en el blog de los investigadores de Talos.
Aunque Cisco no especificó qué país podría estar detrás de las intrusiones, fuentes cercanas a la investigación indicaron que la campaña parece estar alineada con los intereses gubernamentales de China.
Según Cisco, la campaña de hackeo comenzó en noviembre de 2023, y la mayoría de las intrusiones ocurrieron entre diciembre y principios de enero de este año, cuando se detectó a la primera víctima. "La investigación subsiguiente identificó a otras víctimas, todas en redes gubernamentales de todo el mundo", menciona el informe de Cisco.
Durante estas intrusiones, los hackers explotaron dos nuevas vulnerabilidades en los productos ASA de Cisco. Una de ellas, denominada Line Dancer, permitía a los atacantes ejecutar código malicioso en la memoria de los dispositivos de red, facilitándoles emitir comandos a los equipos, incluyendo la capacidad de espiar el tráfico de red y robar datos. La segunda vulnerabilidad, llamada Line Runner, permitía que el malware mantuviera acceso a los dispositivos incluso después de reinicios o actualizaciones. Todavía no se ha determinado si estas vulnerabilidades fueron los puntos de entrada iniciales o si los hackers usaron otros métodos para infiltrarse antes de explotar los dispositivos de Cisco.
Cisco ha lanzado actualizaciones de software para corregir ambas vulnerabilidades y recomienda a sus clientes instalarlas inmediatamente, además de seguir otras recomendaciones para detectar posibles ataques. A pesar de la persistencia de Line Runner en los dispositivos, un aviso del Centro Nacional de Ciberseguridad (NCSC) del Reino Unido afirma que desconectar físicamente un dispositivo ASA corta el acceso de los atacantes. "Se ha confirmado que un reinicio completo desconectando el dispositivo Cisco ASA del suministro eléctrico impide que Line Runner se reinstale", enfatiza el comunicado.
La campaña ArcaneDoor es la más reciente de una serie de intrusiones dirigidas a dispositivos del perímetro de la red, como servidores de correo electrónico, firewalls y VPN. Estos equipos, a menudo destinados a ofrecer seguridad, presentan vulnerabilidades que permiten a los hackers establecer un punto de apoyo dentro de la red de la víctima.
Te podrá interesar: ¿Tu software está al día?: Importancia de los Parches
La tendencia de hackers respaldados por el estado para comprometer dispositivos periféricos fue particularmente notoria el año pasado, según lo destaca Mandiant, empresa de seguridad propiedad de Google, en su informe anual M-Trends. Este reporte, basado en hallazgos de inteligencia de amenazas y respuestas a incidentes, señala que se han explotado ampliamente vulnerabilidades en dispositivos de borde de red de marcas como Barracuda e Ivanti.
Específicamente, grupos chinos centrados en el espionaje están desarrollando malware personalizado para estos dispositivos, aprovechando que muchas redes carecen de métodos efectivos para monitorear si están comprometidos. Detectar el acceso de los hackers de ArcaneDoor a dispositivos Cisco ASA es “increíblemente difícil”, según el Centro Nacional de Ciberseguridad (NCSC) del Reino Unido.
Mandiant también informa que hackers rusos patrocinados por el estado, particularmente la unidad de la agencia de inteligencia militar rusa GRU conocida como Sandworm, han estado atacando repetidamente dispositivos periféricos usados por organizaciones ucranianas. Esto les permite obtener y mantener acceso a estas redes, a menudo ejecutando ciberataques que destruyen información. En algunos casos, la falta de visibilidad y supervisión de estos dispositivos ha permitido que Sandworm borre redes mientras mantiene el control de un dispositivo, permitiéndoles atacar de nuevo la misma red.
“Están atacando sistemáticamente los dispositivos de seguridad que se encuentran en el borde para acceder al resto de la red", comenta John Hultquist, jefe de inteligencia de amenazas de Mandiant. “Esto ya no es una tendencia emergente. Está consolidada”.
Sin embargo, Hultquist destaca que China está a la vanguardia en el descubrimiento y uso de dispositivos de red de día cero, como los empleados recientemente para vulnerar los firewalls de Cisco. Anticipa que estos ataques continuarán, dado que los ciberespías chinos utilizan dispositivos destinados a proteger las redes en contra de sus propietarios. “Es poco probable que estos ataques de día cero se estén produciendo al azar. Sospechamos que hay un esfuerzo coordinado y bien financiado para encontrar y explotar estas vulnerabilidades”, advierte Hultquist. “Desafortunadamente, es casi seguro que veremos varios ataques de día cero más en dispositivos de seguridad este año”.
Te podrá interesar leer: Google responde al primer Zero-Day explotado en Chrome de 2024
El reciente ataque a las redes de gobierno demuestra la necesidad urgente de fortalecer nuestras defensas cibernéticas. A medida que los hackers continúan desarrollando métodos más sofisticados, también debe evolucionar nuestra respuesta a estos riesgos. La seguridad no es solamente una preocupación de TI, sino una prioridad estratégica que requiere compromiso a todos los niveles de la organización y, por extensión, a nivel internacional.
Este incidente sirve como un llamado a la acción para que los gobiernos y las organizaciones privadas evalúen y fortalezcan sus políticas y prácticas de ciberseguridad. Solo a través de una vigilancia constante, una mejora continua y una colaboración efectiva podemos esperar mantener a raya a los adversarios cibernéticos y proteger nuestros activos más críticos.