Un piratage d’équipements réseau a permis d’espionner des gouvernements

La société de cybersécurité Cisco Talos a publié, le 24 avril 2024, un rapport sur une vaste campagne d’espionnage de serveurs gouvernementaux, baptisée « Arcane Door ». Cette dernière s’appuie sur l’exploitation de vulnérabilités dans des équipements réseau, dont deux failles 0-day sur des équipements de Cisco, maison-mère de la société de cybersécurité.

Cisco Talos a repéré, en janvier 2024, une activité suspecte sur les appareils de sécurité adaptatifs de Cisco. Les chercheurs ont identifié par la suite un « petit ensemble de clients » infectés, impliquant tous « des réseaux gouvernementaux à l’échelle mondiale ».

Démarrée en juillet 2023, la campagne d’espionnage ciblait des dispositifs de protection de périmètre réseau, en l’occurrence des pare-feux ou des VPN. Elle visait également des périphériques réseau de Microsoft et d’autres fournisseurs. Les attaquants auraient pris le contrôle de leurs premières infrastructures en novembre 2023. Cisco a depuis publié trois correctifs aux vulnérabilités identifiées, dont deux critiques.

Cisco Talos a attribué l’attaque à un acteur malveillant jusqu’ici inconnu, baptisé « UAT4356 », ou « Storm-1849 » par Microsoft. Dans un communiqué commun, les agences de cybersécurité d’Australie, du Canada et du Royaume-Uni ont estimé que les capacités d’UAT4356 « sont caractéristiques d’un espionnage mené par un acteur sophistiqué et doté de ressources suffisantes, parrainé par un État ».

« Les dispositifs de périmètre réseau constituent le point d’intrusion idéal pour les campagnes d’espionnage (…). Au cours des deux dernières années, nous avons assisté à une augmentation spectaculaire et soutenue du ciblage de ces appareils dans les domaines des télécoms et de l’énergie – ces infrastructures critiques sont probablement des cibles d’intérêt pour de nombreux gouvernements étrangers », lit-on dans le rapport de Cisco Talos.