اخترق جواسيس “ArcaneDoor” جدران الحماية الخاصة بشركة Cisco للوصول إلى الشبكات الحكومية
تهدف أجهزة أمان الشبكات مثل جدران الحماية إلى إبعاد المتسللين. وبدلاً من ذلك، يستهدفهم المتسللون الرقميون بشكل متزايد باعتبارهم الحلقة الضعيفة التي تتيح لهم نهب الأنظمة ذاتها التي تهدف هذه الأجهزة إلى حمايتها. وفي حالة إحدى حملات القرصنة خلال الأشهر الأخيرة، تكشف شركة Cisco الآن أن جدران الحماية الخاصة بها كانت بمثابة رؤوس جسر للمتسللين المتطورين الذين يخترقون شبكات حكومية متعددة حول العالم.
في يوم الأربعاء، حذرت شركة Cisco من أن ما يسمى بأجهزة الأمن التكيفية – وهي الأجهزة التي تدمج جدار الحماية وشبكة VPN مع ميزات الأمان الأخرى – قد تم استهدافها من قبل جواسيس ترعاهم الدولة والذين استغلوا اثنتين من نقاط الضعف في معدات شركة الشبكات العملاقة لاختراق الأهداف الحكومية. على مستوى العالم في حملة قرصنة تسمى ArcaneDoor.
لا يمكن ربط المتسللين الذين يقفون وراء عمليات الاقتحام، والتي يطلق عليها قسم الأمن في شركة Cisco Talos اسم UAT4356 والتي أطلق عليها باحثو Microsoft الذين ساهموا في التحقيق اسم STORM-1849، بشكل واضح بأي حوادث اقتحام سابقة تتبعتها الشركات. ومع ذلك، واستنادًا إلى تركيز المجموعة على التجسس وتطورها، تقول شركة سيسكو إن عملية القرصنة كانت برعاية الدولة.
“استخدم هذا الممثل أدوات مخصصة أظهرت تركيزًا واضحًا على التجسس ومعرفة متعمقة بالأجهزة التي استهدفوها، وهي السمات المميزة لممثل متطور ترعاه الدولة”، كما جاء في منشور مدونة من باحثي Talos من Cisco.
رفضت شركة Cisco تحديد الدولة التي تعتقد أنها مسؤولة عن عمليات الاختراق، لكن مصادر مطلعة على التحقيق أخبرت WIRED أن الحملة تبدو متوافقة مع مصالح الدولة الصينية.
وتقول شركة Cisco إن حملة القرصنة بدأت في وقت مبكر من نوفمبر 2023، مع حدوث غالبية عمليات الاقتحام بين ديسمبر وأوائل يناير من هذا العام، عندما علمت بالضحية الأولى. وجاء في تقرير الشركة أن “التحقيق الذي أعقب ذلك حدد ضحايا إضافيين، وجميعهم تورطوا في شبكات حكومية على مستوى العالم”.
وفي عمليات الاقتحام هذه، استغل المتسللون اثنتين من نقاط الضعف المكتشفة حديثًا في منتجات ASA الخاصة بشركة Cisco. الأول، والذي يطلق عليه اسم Line Dancer، يسمح للمتسللين بتشغيل تعليمات برمجية ضارة خاصة بهم في ذاكرة أجهزة الشبكة، مما يسمح لهم بإصدار أوامر إلى الأجهزة، بما في ذلك القدرة على التجسس على حركة مرور الشبكة وسرقة البيانات. الثغرة الأمنية الثانية، والتي تطلق عليها Cisco اسم Line Runner، ستسمح للبرامج الضارة للمتسللين بالحفاظ على وصولها إلى الأجهزة المستهدفة حتى عند إعادة تشغيلها أو تحديثها.
أصدرت Cisco تحديثات برامج لتصحيح كلا الثغرات الأمنية، وتنصح العملاء بتنفيذها على الفور، إلى جانب توصيات أخرى لاكتشاف ما إذا كانت مستهدفة أم لا.
تمثل حملة القرصنة ArcaneDoor أحدث سلسلة من عمليات الاقتحام لاستهداف التطبيقات المحيطة بالشبكة والتي يشار إليها أحيانًا على أنها أجهزة “حافة” مثل خوادم البريد الإلكتروني وجدران الحماية والشبكات الافتراضية الخاصة – غالبًا ما تكون أجهزة تهدف إلى توفير الأمان – والتي سمحت ثغراتها الأمنية للمتسللين بالحصول على نقطة انطلاق بالداخل شبكة الضحية. ويحذر باحثو Talos من Cisco من هذا الاتجاه الأوسع في تقريرهم، مشيرين إلى الشبكات الحساسة للغاية التي شاهدوها مستهدفة عبر الأجهزة الطرفية في السنوات الأخيرة. وكتبوا: “إن الحصول على موطئ قدم على هذه الأجهزة يسمح للممثل بالتحول مباشرة إلى منظمة، وإعادة توجيه أو تعديل حركة المرور ومراقبة اتصالات الشبكة”. “في العامين الماضيين، شهدنا زيادة كبيرة ومستمرة في استهداف هذه الأجهزة في مجالات مثل مقدمي الاتصالات السلكية واللاسلكية ومؤسسات قطاع الطاقة – وهي كيانات البنية التحتية الحيوية التي من المحتمل أن تكون أهدافًا استراتيجية محل اهتمام العديد من الحكومات الأجنبية.”