Des chercheurs en cybersécurité ont identifié une campagne malveillante baptisée ArcaneDoor, qui cible des équipements réseau de plusieurs fournisseurs, dont Cisco, pour déployer des malwares personnalisés et collecter secrètement des données sur des réseaux gouvernementaux. Selon le rapport de la société de cybersécurité Cisco Talos, cette campagne a été particulièrement active dans le ciblage des dispositifs de protection d’un périmètre réseau tels que les pare-feu ou les VPN.
La campagne a été détectée pour la première fois lorsque Cisco a été alerté d’une activité suspecte sur un de ses appareils de sécurité adaptatifs (ASA) en janvier 2024. Les chercheurs ont ensuite identifié un petit ensemble de clients, tous liés à des réseaux gouvernementaux à l’échelle mondiale. Les hackers ont initié cette cyberattaque dès juillet 2023, avec le contrôle effectif d’une première infrastructure en novembre.
Les hackers ont exploité deux vulnérabilités zero-day, CVE-2024-20353 et CVE-2024-20359, pour accéder aux systèmes ciblés. Ces failles de sécurité, jusqu’alors inconnues, ont permis aux pirates d’exécuter des commandes sur les appareils compromis et de charger des clients VPN et des plug-ins en avance, leur donnant un accès avec des privilèges de niveau root.
Cette campagne a été attribuée à un acteur malveillant jusqu’ici non documenté, nommé UAT4356 par Cisco Talos ou Storm-1849 par Microsoft. Les chercheurs ont identifié deux portes dérobées déployées dans le cadre de cette campagne, “Line Runner” et “Line Dancer”, qui ont été utilisées pour mener des actions malveillantes telles que la modification de la configuration, la reconnaissance, la capture et l’exfiltration du trafic réseau.
“Line Dancer” permet aux cyberattaquants de télécharger et d’exécuter des charges utiles de code malveillant pour capturer le trafic Internet et brouiller leurs traces, tandis que “Line Runner” est une porte dérobée persistante. Elle survit aux redémarrages et mises à jour, ce qui souligne la sophistication de l’acteur malveillant derrière cette campagne.
Les routeurs Cisco ont été particulièrement ciblés par cette campagne, bien que les chercheurs mettent en garde contre le risque pour d’autres périphériques réseau de différents fournisseurs. Trois patchs correctifs, dont deux jugés critiques, ont depuis été publiés pour contrer ces vulnérabilités, indépendamment du fournisseur d’équipement réseau.
Cette campagne de cyberespionnage soulève des préoccupations quant à la sécurité des réseaux gouvernementaux et met en évidence la nécessité de renforcer les mesures de protection contre de telles attaques sophistiquées menées par des acteurs étatiques.