Perangkat keamanan jaringan seperti firewall dimaksudkan untuk menjaga para peretas keluar. Namun, para penyusup digital semakin menargetkan mereka sebagai titik lemah yang memungkinkan mereka merampok sistem yang seharusnya dilindungi oleh perangkat-perangkat tersebut. Dalam kasus satu kampanye peretasan selama beberapa bulan terakhir, Cisco kini mengungkapkan bahwa firewall-nya berfungsi sebagai benteng untuk para peretas yang canggih yang berhasil meretas beberapa jaringan pemerintah di seluruh dunia.
Pada hari Rabu, Cisco memperingatkan bahwa perangkat yang disebut Adaptive Security Appliances-nya—perangkat yang mengintegrasikan firewall dan VPN dengan fitur-fitur keamanan lainnya—telah ditargetkan oleh mata-mata yang disponsori negara yang mengeksploitasi dua kerentanan zero-day dalam perangkat jaringan raksasa tersebut untuk mengompromi target-target pemerintah di seluruh dunia dalam kampanye peretasan yang disebut ArcaneDoor.
Para peretas di balik penyusupan, yang divisi keamanan Cisco Talos sebut UAT4356 dan yang peneliti Microsoft yang berkontribusi pada penyelidikan menyebut STORM-1849, tidak dapat dengan jelas dikaitkan dengan insiden peretasan sebelumnya yang telah dilacak oleh perusahaan-perusahaan tersebut. Berdasarkan fokus dan kecanggihan mata-mata tersebut, namun, Cisco mengatakan bahwa peretasan tersebut tampaknya disponsori negara.
“Para pelaku ini menggunakan alat-alat khusus yang menunjukkan fokus yang jelas pada mata-mata dan pengetahuan mendalam tentang perangkat yang mereka targetkan, ciri khas dari aktor yang disponsori negara yang canggih,” tulisan di blog peneliti Talos Cisco.
Cisco menolak untuk menyebutkan negara mana yang mereka percayai bertanggung jawab atas penyusupan tersebut, namun sumber-sumber yang akrab dengan penyelidikan memberitahu WIRED bahwa kampanye tersebut tampaknya sejalan dengan kepentingan negara China.
Cisco mengatakan bahwa kampanye peretasan dimulai sejak November 2023, dengan sebagian besar penyusupan terjadi antara Desember dan awal Januari tahun ini, ketika mereka mengetahui korban pertama. “Penyelidikan yang menyusul mengidentifikasi korban tambahan, yang semuanya melibatkan jaringan pemerintah di seluruh dunia,” laporan perusahaan tersebut.
Dalam penyusupan tersebut, para peretas mengeksploitasi dua kerentanan yang baru ditemukan dalam produk ASA Cisco. Salah satunya, yang mereka sebut Line Dancer, memungkinkan para peretas menjalankan kode berbahaya mereka sendiri di memori perangkat jaringan, memungkinkan mereka untuk memberikan perintah kepada perangkat, termasuk kemampuan untuk memata-matai lalu lintas jaringan dan mencuri data. Kerentanan kedua, yang disebut Line Runner oleh Cisco, akan memungkinkan malware para peretas untuk tetap mempertahankan akses mereka ke perangkat target bahkan ketika perangkat tersebut di-reboot atau di-update. Belum jelas apakah kerentanan tersebut berfungsi sebagai titik akses awal ke jaringan korban, atau bagaimana para peretas mungkin telah mendapatkan akses sebelum mengeksploitasi perangkat Cisco.
Cisco telah merilis pembaruan perangkat lunak untuk memperbaiki kedua kerentanan tersebut, dan menyarankan pelanggan untuk segera menerapkannya, bersama dengan rekomendasi lain untuk mendeteksi apakah mereka telah menjadi sasaran. Meskipun mekanisme keberlanjutan Line Runner para peretas, sebuah peringatan terpisah dari National Cybersecurity Center Inggris mencatat bahwa dengan melepas fisik perangkat ASA, akses para peretas bisa terganggu. “Reboot keras dengan mencabut kabel daya dari Cisco ASA telah dikonfirmasi dapat mencegah Line Runner untuk menginstal kembali dirinya,” tulisan peringatan tersebut.
Kampanye peretasan ArcaneDoor mewakili serangkaian penyusupan terbaru yang menargetkan aplikasi perimeter jaringan yang kadang disebut sebagai perangkat “edge” seperti server email, firewall, dan VPN—seringkali perangkat-perangkat yang dimaksudkan untuk memberikan keamanan—yang kerentanannya memungkinkan para peretas mendapatkan titik persiapan di dalam jaringan korban. Peneliti Talos Cisco memperingatkan tentang tren lebih luas tersebut dalam laporan mereka, merujuk pada jaringan yang sangat sensitif yang mereka lihat diserang melalui perangkat edge dalam beberapa tahun terakhir. “Mendapatkan pijakan pada perangkat-perangkat tersebut memungkinkan seorang aktor untuk langsung beralih ke sebuah organisasi, mengalihkan atau mengubah lalu lintas dan memonitor komunikasi jaringan,” tulis mereka. “Dalam dua tahun terakhir, kami telah melihat peningkatan yang dramatis dan berkelanjutan dalam penargetan perangkat-perangkat ini di bidang-bidang seperti penyedia telekomunikasi dan organisasi sektor energi—entitas infrastruktur kritis yang kemungkinan merupakan target strategis minat bagi banyak pemerintah asing.”