FIRESTARTER Backdoor
साइबरसुरक्षा विश्लेषकहरूले खुलासा गरेका छन् कि सेप्टेम्बर २०२५ मा एक अज्ञात संघीय नागरिक एजेन्सीले एडाप्टिभ सेक्युरिटी अप्लायन्स (ASA) सफ्टवेयर चलाउने सिस्को फायरपावर उपकरणसँग सम्झौता गरेको थियो। अन्वेषकहरूले FIRESTARTER नामक पहिले कागजात नगरिएको मालवेयर स्ट्रेन पहिचान गरे, जुन प्रभावित प्रणालीहरूमा गोप्य रिमोट पहुँच र दीर्घकालीन नियन्त्रण प्रदान गर्न डिजाइन गरिएको थियो।
यो घुसपैठ सिस्को एएसए फर्मवेयरलाई लक्षित गर्दै पछि प्याच गरिएका ज्ञात कमजोरीहरूको शोषण मार्फत उन्नत पर्सिस्टेन्ट थ्रेट (एपीटी) समूहद्वारा सञ्चालन गरिएको फराकिलो अभियानको हिस्सा भएको विश्वास गरिन्छ।
सामग्रीको तालिका
उच्च-जोखिम सिस्को जोखिमहरू मार्फत प्रारम्भिक घुसपैठ
खतराका अभियन्ताहरूले खुला उपकरणहरूमा प्रवेश प्राप्त गर्न दुई गम्भीर सिस्को सुरक्षा कमजोरीहरूको फाइदा उठाएको बताइएको छ:
- CVE-2025-20333 (CVSS 9.9): अनुचित इनपुट प्रमाणीकरणले मान्य VPN प्रमाणहरू भएको प्रमाणित रिमोट आक्रमणकारीलाई क्राफ्ट गरिएको HTTP अनुरोधहरू मार्फत रूटको रूपमा मनमानी कोड कार्यान्वयन गर्न अनुमति दिन्छ।
- CVE-2025-20362 (CVSS 6.5): अनुचित इनपुट प्रमाणीकरणले अप्रमाणित रिमोट आक्रमणकारीलाई क्राफ्ट गरिएको HTTP अनुरोधहरू प्रयोग गरेर प्रतिबन्धित URL अन्त्य बिन्दुहरू पहुँच गर्न अनुमति दिन्छ।
प्याचहरू उपलब्ध भए तापनि, उपचार अघि भङ्ग भएका प्रणालीहरू अझै पनि सम्झौतामा रहन सक्छन्।
FIRESTARTER ले निरन्तर पोस्ट-प्याच पहुँच सक्षम बनाउँछ
FIRESTARER फर्मवेयर अपग्रेड र मानक रिबुटहरूमा टिक्न सक्ने क्षमताको लागि उल्लेखनीय छ। मालवेयरले उपकरणको माउन्ट अनुक्रम परिमार्जन गरेर स्टार्टअप प्रक्रियामा आफूलाई एम्बेड गर्दछ, जसले गर्दा उपकरण सामान्य रूपमा रिबुट हुँदा स्वचालित पुन: सक्रियतालाई अनुमति दिन्छ।
केवल हार्ड पावर साइकलले इम्प्लान्टलाई अस्थायी रूपमा अवरोध गर्न सक्छ। मानक बन्द, पुन: लोड, वा रिबुट आदेशहरूले यसलाई हटाउँदैनन्। अनुसन्धानकर्ताहरूले FIRESTARTER र RayInitiator भनेर चिनिने पहिलेको बुटकिट बीच समानताहरू पनि नोट गरे।
LINA हुकिङ मार्फत गहिरो प्रणाली हेरफेर
अनुसन्धानकर्ताहरूले पत्ता लगाए कि FIRESTARTER ले सिस्को ASA नेटवर्क प्रशोधन र सुरक्षा सञ्चालनको लागि जिम्मेवार कोर इन्जिन LINA भित्र हुक प्रत्यारोपण गर्ने प्रयास गर्दछ। यो हेरफेरले आक्रमणकारीहरूलाई सामान्य कार्यक्षमतालाई अवरोध गर्न र तथाकथित 'जादुई प्याकेट' समावेश गर्ने विशेष रूपमा तयार पारिएको WebVPN प्रमाणीकरण अनुरोधहरू मार्फत डेलिभर गरिएको मनमानी शेलकोड कार्यान्वयन गर्न अनुमति दिन्छ।
यो संयन्त्रले कमजोरीहरू प्याच गरिसकेपछि पनि निरन्तर दुर्भावनापूर्ण गतिविधिलाई सक्षम बनाउँछ।
लाइन भाइपर टूलकिटले आक्रमणकारी क्षमताहरू विस्तार गर्दछ
सोही घटनाको क्रममा, सञ्चालकहरूले LINE VIPER भनिने शोषणपछिको ढाँचा प्रयोग गरे, जसले सम्झौता गरिएको वातावरणमाथि नियन्त्रणलाई उल्लेखनीय रूपमा विस्तार गर्यो। टुलकिटले निम्न कार्यहरू गरिरहेको अवलोकन गरिएको थियो:
- CLI आदेशहरू कार्यान्वयन गर्दै
- नेटवर्क ट्राफिक क्याप्चर गर्दै
- आक्रमणकारी-नियन्त्रित उपकरणहरूको लागि VPN प्रमाणीकरण, प्राधिकरण, र लेखा (AAA) लाई बाइपास गर्दै
- सिस्लग अलर्टहरू दबाउँदै
- कटाई प्रशासक CLI गतिविधि
- ढिलाइ भएको प्रणाली रिबुटलाई जबरजस्ती गर्दै
LINE VIPER द्वारा प्रदान गरिएको उच्च विशेषाधिकारले सेप्टेम्बर २५, २०२५ अघि FIRESTARTER तैनाथीको लागि मार्ग प्रशस्त गरेको बताइएको छ। आक्रमणकारीहरू अघिल्लो महिना जस्तै हालसालै उपकरणमा फर्कन सक्षम भए।
व्यापक जासुसी कार्यहरूको लिङ्कहरू
UAT4356, जसलाई Storm-1849 पनि भनिन्छ, अन्तर्गत शोषण ट्र्याक गर्ने अनुसन्धानकर्ताहरूले गतिविधिलाई पहिलेका अभियानहरूसँग जोडे। मे २०२४ को अघिल्लो मूल्याङ्कनले चीनसँग सम्भावित लिङ्कहरू सुझाव दिएको थियो।
यो क्लस्टर पहिले ArcaneDoor सँग सम्बन्धित थियो, एउटा अभियान जसले दुई सिस्को शून्य-दिन कमजोरीहरूको शोषण गर्दै टोही र नेटवर्क ट्राफिक अवरोधको लागि प्रयोग गरिने अनुकूलन मालवेयर तैनाथ गरेको थियो।
प्रभावित संस्थाहरूको लागि महत्वपूर्ण उपचार उपायहरू
सुरक्षा पेशेवरहरूले सिस्को सेक्योर एएसए वा फायरपावर थ्रेट डिफेन्स (FTD) प्लेटफर्महरू समावेश गर्ने कुनै पनि पुष्टि भएको सम्झौतालाई पूर्ण विश्वास विफलताको रूपमा व्यवहार गर्न कडा सल्लाह दिन्छन्। अवस्थित उपकरण कन्फिगरेसनहरूलाई अविश्वसनीय मान्नु पर्छ।
FIRESTARTER लाई पूर्ण रूपमा उन्मूलन गर्न, संस्थाहरूले प्रभावित उपकरणहरूको पुन: छविकरण गर्नुपर्छ र सिस्कोको निश्चित सफ्टवेयर रिलीजहरूमा स्तरोन्नति गर्नुपर्छ। पुन: छविकरण पूरा नभएसम्म, उपकरणमा भौतिक रूपमा विच्छेदन र पावर पुन: जडान गरेर कोल्ड रिस्टार्ट सिफारिस गरिन्छ, किनकि सफ्टवेयर-आधारित रिबुट आदेशहरूले निरन्तर इम्प्लान्ट हटाउने छैनन्।
