Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Backdoors Πίσω πόρτα FIRESTARTER

Πίσω πόρτα FIRESTARTER

Μέχρι το Mezo το Backdoors, Προηγμένη επίμονη απειλή (APT)
Μετάφραση σε:

Αναλυτές κυβερνοασφάλειας αποκάλυψαν ότι μια ανώνυμη ομοσπονδιακή πολιτική υπηρεσία υπέστη παραβίαση τον Σεπτέμβριο του 2025 που αφορούσε μια συσκευή Cisco Firepower που εκτελούσε λογισμικό Adaptive Security Appliance (ASA). Οι ερευνητές εντόπισαν ένα προηγουμένως μη καταγεγραμμένο στέλεχος κακόβουλου λογισμικού με το όνομα FIRESTARTER, το οποίο έχει σχεδιαστεί για να παρέχει μυστική απομακρυσμένη πρόσβαση και μακροπρόθεσμο έλεγχο στα επηρεαζόμενα συστήματα.

Η εισβολή πιστεύεται ότι αποτελεί μέρος μιας ευρύτερης εκστρατείας που διεξάγεται από μια ομάδα προηγμένων μόνιμων απειλών (APT) που στοχεύει το υλικολογισμικό Cisco ASA μέσω της εκμετάλλευσης γνωστών ευπαθειών που αργότερα διορθώθηκαν.

Αρχική εισβολή μέσω ευπαθειών υψηλού κινδύνου της Cisco

Σύμφωνα με πληροφορίες, οι απειλητικοί παράγοντες αξιοποίησαν δύο σοβαρά κενά ασφαλείας της Cisco για να αποκτήσουν πρόσβαση σε εκτεθειμένες συσκευές:

  • CVE-2025-20333 (CVSS 9.9): Λανθασμένη επικύρωση εισόδου που επιτρέπει σε έναν εξουσιοδοτημένο απομακρυσμένο εισβολέα με έγκυρα διαπιστευτήρια VPN να εκτελέσει αυθαίρετο κώδικα ως root μέσω δημιουργημένων αιτημάτων HTTP.
  • CVE-2025-20362 (CVSS 6.5): Λανθασμένη επικύρωση εισόδου που επιτρέπει σε έναν μη εξουσιοδοτημένο απομακρυσμένο εισβολέα να έχει πρόσβαση σε περιορισμένα τελικά σημεία URL χρησιμοποιώντας δημιουργημένα αιτήματα HTTP.

Παρόλο που υπάρχουν διαθέσιμες ενημερώσεις κώδικα (patches), τα συστήματα που έχουν παραβιαστεί πριν από την αποκατάσταση ενδέχεται να παραμείνουν σε κίνδυνο.

Το FIRESTARTER επιτρέπει τη μόνιμη πρόσβαση μετά την ενημέρωση κώδικα

Το FIRESTARTER είναι αξιοσημείωτο για την ικανότητά του να επιβιώνει από αναβαθμίσεις υλικολογισμικού και τυπικές επανεκκινήσεις. Το κακόβουλο λογισμικό ενσωματώνεται στη διαδικασία εκκίνησης τροποποιώντας την ακολουθία προσάρτησης της συσκευής, επιτρέποντας την αυτόματη επανενεργοποίηση κάθε φορά που η συσκευή επανεκκινείται κανονικά.

Μόνο ένας πλήρης κύκλος λειτουργίας μπορεί να διακόψει προσωρινά το εμφύτευμα. Οι τυπικές εντολές τερματισμού λειτουργίας, επαναφόρτωσης ή επανεκκίνησης δεν το καταργούν. Οι ερευνητές παρατήρησαν επίσης ομοιότητες μεταξύ του FIRESTARTER και ενός παλαιότερου bootkit γνωστού ως RayInitiator.

Βαθιά Χειραγώγηση Συστήματος Μέσω LINA Hooking

Οι ερευνητές διαπίστωσαν ότι το FIRESTARTER επιχειρεί να εμφυτεύσει ένα γάντζο μέσα στο LINA, την κεντρική μηχανή που είναι υπεύθυνη για την επεξεργασία και τις λειτουργίες ασφαλείας του δικτύου Cisco ASA. Αυτή η χειραγώγηση επιτρέπει στους εισβολείς να παρεμποδίζουν την κανονική λειτουργικότητα και να εκτελούν αυθαίρετο shellcode που παρέχεται μέσω ειδικά κατασκευασμένων αιτημάτων ελέγχου ταυτότητας WebVPN που περιέχουν ένα λεγόμενο «μαγικό πακέτο».

Αυτός ο μηχανισμός επιτρέπει τη συνέχιση της κακόβουλης δραστηριότητας ακόμη και μετά την επιδιόρθωση των ευπαθειών.

Το κιτ εργαλείων LINE VIPER επεκτείνει τις δυνατότητες των επιτιθέμενων

Κατά τη διάρκεια του ίδιου περιστατικού, οι χειριστές ανέπτυξαν ένα πλαίσιο μετά την εκμετάλλευση που ονομάζεται LINE VIPER, το οποίο επέκτεινε σημαντικά τον έλεγχο του παραβιασμένου περιβάλλοντος. Παρατηρήθηκε ότι το κιτ εργαλείων εκτελούσε τις ακόλουθες ενέργειες:

  • Εκτέλεση εντολών CLI
  • Καταγραφή της κυκλοφορίας δικτύου
  • Παράκαμψη ελέγχου ταυτότητας, εξουσιοδότησης και λογιστικής (AAA) VPN για συσκευές που ελέγχονται από εισβολείς
  • Καταστολή ειδοποιήσεων syslog
  • Δραστηριότητα CLI διαχειριστή συλλογής
  • Αναγκαστική καθυστέρηση επανεκκίνησης συστήματος

Τα αυξημένα προνόμια που παρείχε η LINE VIPER φέρεται να άνοιξαν τον δρόμο για την ανάπτυξη του FIRESTARTER πριν από τις 25 Σεπτεμβρίου 2025. Οι επιτιθέμενοι μπόρεσαν να επιστρέψουν στη συσκευή μόλις τον προηγούμενο μήνα.

Σύνδεσμοι με ευρύτερες επιχειρήσεις κατασκοπείας

Οι ερευνητές που παρακολουθούν την εκμετάλλευση με την ονομασία UAT4356, γνωστή και ως Storm-1849, συνέδεσαν τη δραστηριότητα με προηγούμενες εκστρατείες. Προηγούμενες αξιολογήσεις από τον Μάιο του 2024 υπέδειξαν πιθανές συνδέσεις με την Κίνα.

Αυτό το σύμπλεγμα είχε συσχετιστεί νωρίτερα με το ArcaneDoor, μια καμπάνια που εκμεταλλευόταν δύο ευπάθειες zero-day της Cisco για την ανάπτυξη προσαρμοσμένου κακόβουλου λογισμικού που χρησιμοποιείται για αναγνώριση και υποκλοπή της κυκλοφορίας δικτύου.

Κρίσιμα μέτρα αποκατάστασης για τους επηρεαζόμενους οργανισμούς

Οι επαγγελματίες ασφαλείας συνιστούν ανεπιφύλακτα οποιαδήποτε επιβεβαιωμένη παραβίαση που αφορά πλατφόρμες Cisco Secure ASA ή Firepower Threat Defense (FTD) να αντιμετωπίζεται ως πλήρης αποτυχία εμπιστοσύνης. Οι υπάρχουσες διαμορφώσεις συσκευών θα πρέπει να θεωρούνται αναξιόπιστες.

Για την πλήρη εξάλειψη του FIRESTARTER, οι οργανισμοί θα πρέπει να επαναδημιουργήσουν το imaging των συσκευών που έχουν επηρεαστεί και να αναβαθμίσουν στις διορθωμένες εκδόσεις λογισμικού της Cisco. Μέχρι να ολοκληρωθεί η επαναδημιουργία του imaging, συνιστάται μια επανεκκίνηση με κρύο τρόπο, αποσυνδέοντας και επανασυνδέοντας φυσικά την παροχή ρεύματος στη συσκευή, καθώς οι εντολές επανεκκίνησης που βασίζονται στο λογισμικό δεν θα αφαιρέσουν το επίμονο εμφύτευμα.

Τάσεις

Κακόβουλο λογισμικό SnappyClient

Κακόβουλο λογισμικό, Εργαλεία απομακρυσμένης διαχείρισης
Το SnappyClient είναι ένα εξαιρετικά προηγμένο κακόβουλο λογισμικό γραμμένο σε C++ και διανέμεται μέσω ενός προγράμματος φόρτωσης γνωστού ως HijackLoader. Λειτουργεί ως Trojan Απομακρυσμένης...

Περισσότερες εμφανίσεις

Φόρτωση...