FIRESTARTER Backdoor

كشف محللو الأمن السيبراني عن تعرض وكالة مدنية اتحادية لم يُكشف عن اسمها لاختراق أمني في سبتمبر 2025، شمل جهاز سيسكو فاير باور يعمل ببرنامج Adaptive Security Appliance (ASA). وحدد المحققون نوعًا من البرمجيات الخبيثة غير الموثقة سابقًا يُدعى فايرستارتر، مصممًا لتوفير وصول سري عن بُعد وتحكم طويل الأمد في الأنظمة المتأثرة.

يُعتقد أن هذا الاختراق جزء من حملة أوسع نطاقاً نفذتها مجموعة تهديد مستمر متقدمة (APT) تستهدف البرامج الثابتة لـ Cisco ASA من خلال استغلال الثغرات الأمنية المعروفة التي تم إصلاحها لاحقاً.

الاختراق الأولي من خلال ثغرات سيسكو عالية الخطورة

وبحسب التقارير، استغل المهاجمون ثغرتين أمنيتين خطيرتين في شركة سيسكو للدخول إلى الأجهزة المكشوفة:

• CVE-2025-20333 (CVSS 9.9): التحقق غير السليم من المدخلات يسمح لمهاجم عن بعد مصادق عليه ولديه بيانات اعتماد VPN صالحة بتنفيذ تعليمات برمجية عشوائية كجذر عبر طلبات HTTP مصممة خصيصًا.
• CVE-2025-20362 (CVSS 6.5): التحقق غير السليم من المدخلات يسمح لمهاجم عن بعد غير مصادق عليه بالوصول إلى نقاط نهاية عناوين URL المقيدة باستخدام طلبات HTTP المصممة خصيصًا.

على الرغم من توفر التحديثات، إلا أن الأنظمة التي تم اختراقها قبل المعالجة قد تظل عرضة للخطر.

يُمكّن برنامج FIRESTARTER من الوصول الدائم بعد التحديث

يُعرف برنامج FIRESTARTER بقدرته على البقاء حتى بعد تحديثات البرامج الثابتة وإعادة التشغيل العادية. يتسلل هذا البرنامج الخبيث إلى عملية بدء التشغيل عن طريق تعديل تسلسل تثبيت الجهاز، مما يسمح بإعادة تنشيطه تلقائيًا عند إعادة تشغيل الجهاز بشكل طبيعي.

لا يمكن إيقاف الزرع مؤقتًا إلا بإعادة تشغيل الجهاز بالكامل. ولا تُزيله أوامر الإيقاف أو إعادة التحميل أو إعادة التشغيل العادية. كما لاحظ الباحثون أوجه تشابه بين برنامج FIRESTARTER وبرنامج تمهيد سابق يُعرف باسم RayInitiator.

التلاعب العميق بالنظام من خلال ربط لينا

توصل المحققون إلى أن برنامج FIRESTARTER يحاول زرع ثغرة أمنية داخل LINA، المحرك الأساسي المسؤول عن معالجة الشبكة وعمليات الأمان في Cisco ASA. تسمح هذه الثغرة للمهاجمين باعتراض الوظائف العادية وتنفيذ برمجيات خبيثة يتم إرسالها عبر طلبات مصادقة WebVPN مصممة خصيصًا تحتوي على ما يُسمى "الحزمة السحرية".

تتيح هذه الآلية استمرار النشاط الخبيث حتى بعد إصلاح الثغرات الأمنية.

مجموعة أدوات LINE VIPER توسع قدرات المهاجمين

خلال الحادثة نفسها، قام المشغلون بنشر إطار عمل ما بعد الاختراق المسمى LINE VIPER، والذي وسّع بشكل كبير نطاق السيطرة على البيئة المخترقة. وقد لوحظ قيام مجموعة الأدوات بالإجراءات التالية:

• تنفيذ أوامر واجهة سطر الأوامر
• التقاط حركة مرور الشبكة
• تجاوز مصادقة VPN، والتفويض، والمحاسبة (AAA) للأجهزة التي يتحكم بها المهاجم
• كتم تنبيهات سجل النظام
• جمع بيانات نشاط واجهة سطر الأوامر للمسؤول
• فرض إعادة تشغيل النظام المؤجلة

وبحسب ما ورد، فإن الامتيازات المرتفعة التي يوفرها برنامج LINE VIPER مهدت الطريق لنشر برنامج FIRESTARTER قبل 25 سبتمبر 2025. وتمكن المهاجمون من العودة إلى الجهاز في الشهر السابق.

روابط بعمليات تجسس أوسع نطاقاً

ربط باحثون يتابعون عمليات الاستغلال تحت مسمى UAT4356، المعروف أيضاً باسم Storm-1849، هذه الأنشطة بحملات سابقة. وقد أشارت تقييمات سابقة من مايو 2024 إلى وجود صلات محتملة بالصين.

وقد ارتبطت هذه المجموعة سابقًا بحملة ArcaneDoor، وهي حملة استغلت ثغرتين أمنيتين من نوع Cisco Zero-day لنشر برامج ضارة مخصصة تستخدم للاستطلاع واعتراض حركة مرور الشبكة.

تدابير المعالجة الحاسمة للمنظمات المتضررة

ينصح خبراء الأمن بشدة بالتعامل مع أي اختراق مؤكد لمنصات Cisco Secure ASA أو Firepower Threat Defense (FTD) على أنه فشل كامل في الثقة. وينبغي اعتبار تكوينات الأجهزة الحالية غير موثوقة.

للقضاء التام على برنامج FIRESTARTER الخبيث، ينبغي على المؤسسات إعادة تثبيت نظام التشغيل على الأجهزة المتأثرة وتحديثها إلى إصدارات البرامج الثابتة من Cisco. وحتى اكتمال إعادة تثبيت نظام التشغيل، يُنصح بإعادة تشغيل الجهاز بالكامل عن طريق فصل الطاقة عنه ثم إعادة توصيلها، حيث أن أوامر إعادة التشغيل البرمجية لن تزيل البرنامج الخبيث المُثبّت.