L’équipementier Cisco est une cible de choix pour des pirates informatiques de haut vol. Aussi, il n’est guère étonnant de voir le géant américain visé par une nouvelle attaque d’espionnage destinée à compromettre des réseaux gouvernementaux dans le monde entier, comme le relève l’entreprise.
L’industriel vient ainsi de dévoiler les résultats de ses investigations, après avoir découvert deux vulnérabilités dans son dispositif ASA (Adaptive Security Appliances). Ce terminal particulièrement sensible combine des capacités de pare-feu, d’antivirus, de prévention des intrusions et de réseau privé virtuel.
Deux portes dérobées déployées ensuite
Alerté par un client au début de l’année 2024, Cisco a en effet découvert un groupe d’attaquants sophistiqué qui a réussi à s’infiltrer via ce produit en exploitant deux vulnérabilités. Une fois dans le système d’information de leurs victimes, ces derniers, également intéressés par les serveurs de messagerie Microsoft Exchange, pouvaient alors déployer deux portes dérobées pour revenir plus facilement, dénommées “Lune Runner” et “Line Dancer”.
Une telle attaque a manifestement été réalisée par un acteur malveillant parrainé par un État, baptisé “UAT4356” par Cisco. Mais l’industriel n’a pas été plus loin sur le terrain de l’attribution. Cependant, des sources proches de l’enquête ont signalé au magazine Wired que la campagne malveillante semblait être alignée sur les intérêts de la Chine.
Le mode opératoire a également un air de déjà vu qui oriente les soupçons vers Pékin. Il y a quelques mois, Mandiant avait par exemple signalé des tentatives de compromission des équipements Ivanti par des acteurs malveillants liés à la Chine, un pare-feu parfait pour ce genre d’attaque contre la chaîne d’approvisionnement.
Point d’intrusion idéal
Comme les produits Ivanti, le dispositif ASA de Cisco est “le point d’intrusion idéal pour les campagnes d’espionnage”, convient l’industriel. “Prendre pied sur ces appareils permet à un acteur de pivoter directement dans une organisation, de rediriger ou de modifier le trafic et de surveiller les communications réseau”, ajoute-t-il.
Les deux vulnérabilités critiques viennent toutefois d’être corrigées. Il est conseillé d’appliquer d’abord les mises à jour de sécurité, avant ensuite de déconnecter l’équipement pour mener les actions d’investigation et de remédiation, rappelle le Cert-FR.
Selon la chronologie retenue par Cisco, les pirates malveillants n’ont pas eu beaucoup de temps pour opérer. La plupart des activités suspectes ont eu lieu entre décembre 2023 et janvier 2024, même si l’industriel estime que les portes dérobées ont été testées et développées en juillet 2023.