Un nuovo attore minaccioso, identificato come UAT4356 o STORM-1849, ha lanciato una sofisticata campagna di spionaggio, denominata ArcaneDoor, che ha colpito i dispositivi di rete perimetrali di vari fornitori. I dettagli dell’attacco, insieme a una panoramica delle sue potenziali implicazioni.
Proteggere la sicurezza dei dispositivi di rete perimetrali è fondamentale in un contesto in cui minacce esterne si fanno sempre più aggressive. I dispositivi perimetrali, come router, firewall e switch, costituiscono il punto di contatto iniziale tra la rete interna e Internet, rendendoli un obiettivo ideale per attori malevoli. Il recente avvento di una campagna di spionaggio di nome “ArcaneDoor”, concentrata su tali dispositivi, ha messo in luce l’operato di un attore minaccioso precedentemente non identificato, chiamato UAT4356 o STORM-1849, che ha mostrato un alto grado di sofisticazione e ambizioni di spionaggio chiaramente delineate.
Si ipotizza che dietro i soprannomi UAT4356 e STORM-1849 si celi un gruppo di minaccia avanzato e persistente (APT) o sponsorizzato da uno Stato, con possibili legami con il governo iraniano. Tale conclusione deriva dal tipo di tecniche, strumenti e obiettivi dell’attacco. UAT4356 ha dimostrato notevole competenza nello sviluppo di backdoor personalizzate e nello sfruttamento delle vulnerabilità zero-day nei dispositivi di rete perimetrali, utilizzando tecniche avanzate per evitare il rilevamento e mantenere la persistenza. Secondo le rilevazioni di Talos, il gruppo ha puntato principalmente a organizzazioni governative, di difesa e di telecomunicazioni in Medio Oriente, Europa e Nord America.
STORM-1849, d’altra parte, è il nome attribuito allo stesso gruppo dal Centro di Intelligence delle minacce di Microsoft, in base alle informazioni condivise con Cisco e ad altri partner di intelligence. STORM-1849 ha confermato le analisi di Talos sull’intento e la natura dell’attore, aggiungendo che il gruppo ha anche utilizzato tecniche di compromissione della supply chain per diffondere le proprie backdoor attraverso i dispositivi di rete infetti. I tentativi di accedere a informazioni sensibili delle vittime, tra cui dati personali, comunicazioni interne, documenti strategici e piani operativi, hanno portato il Centro di Intelligence delle minacce di Microsoft a esortare le organizzazioni a implementare aggiornamenti di sicurezza e a monitorare attentamente le proprie reti per prevenire ulteriori intrusioni.
La campagna ArcaneDoor, mettendo in pratica due backdoor personalizzate, “Line Runner” e “Line Dancer”, ha potuto infiltrarsi nei dispositivi di rete perimetrali e condurre operazioni malevole. Sono state in particolare sfruttate due vulnerabilità nei dispositivi di rete, CVE-2024-20353 e CVE-2024-20359, che consentono l’esecuzione di codice arbitrario con privilegi elevati da parte degli aggressori.
Le vulnerabilità in questione sono state scoperte da Cisco, che ha collaborato con le vittime e i partner di intelligence per analizzare la catena di attacchi e sviluppare le opportune contromisure. Le vulnerabilità sono state affrontate attraverso aggiornamenti di sicurezza rilasciati dai fornitori interessati.
Nella security si tratta di una questione cruciale, dato che si tratta di minaccia di alto livello che ha messo alla prova la robustezza dei dispositivi di rete perimetrali su vasta scala. Per affrontare attacchi simili occorre che le organizzazioni investano costantemente nelle loro misure di sicurezza e mantengano aggiornate le loro infrastrutture per proteggere i dispositivi di rete da future minacce.