ArcaneDoor ist der Codename einer Hacking-Kampagne eines mutmaßlich staatlichen Akteurs, der auf Firewalls und ähnliche Geräte zielt, die ein Netzwerk von Angriffen von außen schützen sollen.[1]

Der Angriff zielte unter Anderem auf Firewall-Software der Firma Cisco, die unter dem Namen "Cisco Adaptive Security Appliance" und "Cisco Firepower Threat Defense" verkauft werden.[2] Laut Cisco wurden bei der Kampagne ausschließlich Regierungsnetzwerke mehrerer Staaten angegriffen.[1]

Nach den Informationen von Cisco startete die Kampagne im November 2023 und erreichte im Dezember 2023 und Januar 2024 ihren Höhepunkt. Zu diesem Zeitpunkt erreichten Cisco die ersten Hinweise auf den Angriff.[1]

Die Attacke nutzt Zero-Day-Sicherheitslücken, die Line Dancer und Line Runner genannt wurden. Line Dancer ermöglicht es den Angreifern, jedwedigen Code auf der Firewall auszuführen und somit den Netzwerk-Traffic auszulesen und zu manipulieren. Line Runner sorgt dafür, dass die Angreifer auch nach einem Neustart oder Update Zugriff auf das Netzwerkgerät haben.

Schutzmaßnahmen

Bearbeiten

Cisco hat ein Update für die betreffende Software bereitgestellt und gab außerdem eine Anleitung heraus, wie Nutzer festellen können, ob ihre Geräte möglicherweise betroffen sind.[2]

Angreifer

Bearbeiten

Die Komplexität der Kampagne liegt nahe, dass sie von einem staatlich finanzierten Akteur durchgeführt wurden. Der Angriff konnte bis jetzt keiner bekannten Gruppe zugeordnet werden und wird von Microsoft nun unter dem Namen STORM-1849 und von Cisco Talos unter dem Namen UAT4356 geführt. Laut Recherche des Magazins Wired liegt es nahe, dass die Angreifer im Auftrag des chinesischen Staats handeln.[1]

Einzelnachweise

Bearbeiten
  1. a b c d Andy Greenberg: ‘ArcaneDoor’ Cyberspies Hacked Cisco Firewalls to Access Government Networks. In: Wired. Condé Nast, 24. April 2024, abgerufen am 25. April 2024 (englisch).
  2. a b Cisco Event Response: Attacks Against Cisco Firewall Platforms. In: Cisco Systems, Inc. 24. April 2024, abgerufen am 25. April 2024 (englisch).

Kategorie:Hacken (Computersicherheit)