Chiến dịch gián điệp mạng được phát hiện gần đây nhắm vào các thiết bị mạng vành đai từ một số nhà cung cấp, bao gồm Cisco, có thể là công việc của các tác nhân liên quan đến Trung Quốc, theo những phát hiện mới từ công ty quản lý bề mặt tấn công Censys.
Được đặt tên là ArcaneDoor, hoạt động này được cho là bắt đầu vào khoảng tháng 7/2023, với vụ tấn công đầu tiên được xác nhận nhắm vào một nạn nhân giấu tên được phát hiện vào đầu tháng 1/2024.
Các cuộc tấn công có chủ đích, được dàn dựng bởi một diễn viên được nhà nước tài trợ tinh vi không có giấy tờ trước đây được theo dõi là UAT4356 (hay còn gọi là Storm-1849), kéo theo việc triển khai hai phần mềm độc hại tùy chỉnh có tên là Line Runner và Line Dancer.
Con đường truy cập ban đầu được sử dụng để tạo điều kiện cho các cuộc xâm nhập vẫn chưa được phát hiện, mặc dù kẻ thù đã được quan sát thấy tận dụng hai lỗ hổng hiện đã được vá trong Thiết bị bảo mật thích ứng của Cisco (CVE-2024-20353 và CVE-2024-20359) để duy trì Line Runner.
Dữ liệu đo từ xa được thu thập như một phần của cuộc điều tra đã tiết lộ sự quan tâm của tác nhân đe dọa đối với các máy chủ và thiết bị mạng Microsoft Exchange từ các nhà cung cấp khác, Talos cho biết vào tháng trước.
Censys, người đã kiểm tra thêm các địa chỉ IP do diễn viên kiểm soát, cho biết các cuộc tấn công chỉ ra sự tham gia tiềm năng của một tác nhân đe dọa có trụ sở tại Trung Quốc.
Điều này dựa trên thực tế là bốn trong số năm máy chủ trực tuyến trình bày chứng chỉ SSL được xác định là có liên quan đến cơ sở hạ tầng của kẻ tấn công được liên kết với các hệ thống tự trị Tencent và ChinaNet (AS).
Ngoài ra, trong số các địa chỉ IP được quản lý bởi tác nhân đe dọa là một máy chủ có trụ sở tại Paris (212.193.2 [.] 48) với chủ đề và tổ chức phát hành được đặt là "Gozargah", có khả năng tham chiếu đến tài khoản GitHub lưu trữ một công cụ chống kiểm duyệt có tên Marzban.
Phần mềm, lần lượt, được "cung cấp" bởi một dự án mã nguồn mở khác có tên là Xray có một trang web được viết bằng tiếng Trung Quốc.
Điều này ngụ ý rằng "một số máy chủ này đang chạy các dịch vụ liên quan đến phần mềm chống kiểm duyệt có khả năng nhằm phá vỡ The Great Firewall" và "một số lượng đáng kể các máy chủ này có trụ sở tại các mạng nổi bật của Trung Quốc", cho thấy ArcaneDoor có thể là tác phẩm của một diễn viên Trung Quốc, Censys đưa ra giả thuyết.
Các tác nhân quốc gia liên kết với Trung Quốc ngày càng nhắm mục tiêu vào các thiết bị cạnh trong những năm gần đây, tận dụng các lỗ hổng zero-day trong Barracuda Networks, Fortinet, Ivanti và VMware để xâm nhập vào các mục tiêu quan tâm và triển khai phần mềm độc hại để truy cập bí mật liên tục.
Sự phát triển này diễn ra khi công ty an ninh mạng Sekoia của Pháp cho biết họ đã đánh chìm thành công một máy chủ chỉ huy và kiểm soát (C2) được liên kết với trojan PlugX vào tháng 9/2023 bằng cách chi 7 USD để có được địa chỉ IP gắn liền với một biến thể của phần mềm độc hại với khả năng lan truyền theo kiểu sâu thông qua các ổ đĩa flash bị xâm nhập.
Giám sát chặt chẽ hơn địa chỉ IP bị chìm (45.142.166 [.] 112) đã tiết lộ sự hiện diện của sâu này tại hơn 170 quốc gia trải dài trên 2,49 triệu địa chỉ IP duy nhất trong khoảng thời gian sáu tháng. Phần lớn các ca nhiễm đã được phát hiện ở Nigeria, Ấn Độ, Trung Quốc, Iran, Indonesia, Anh, Iraq, Mỹ, Pakistan và Ethiopia.