Скидка на мультилицензию
База данных угроз Бэкдоры FIRESTARTER Backdoor

FIRESTARTER Backdoor

К Mezo году в Бэкдоры, Расширенная постоянная угроза (APT) году
Перевести на:

Аналитики в области кибербезопасности сообщили, что в сентябре 2025 года неназванное федеральное гражданское агентство подверглось взлому устройства Cisco Firepower, работающего под управлением программного обеспечения Adaptive Security Appliance (ASA). Следователи выявили ранее не описанный штамм вредоносного ПО под названием FIRESTARTER, предназначенный для обеспечения скрытого удаленного доступа и долгосрочного контроля над затронутыми системами.

Предполагается, что это вторжение является частью более масштабной кампании, проводимой группой, занимающейся целенаправленными атаками (APT), которая нацелена на встроенное программное обеспечение Cisco ASA путем использования известных уязвимостей, которые впоследствии были устранены.

Первоначальное вторжение через уязвимости Cisco, представляющие высокий риск.

По имеющимся данным, злоумышленники использовали две серьезные уязвимости в системе безопасности Cisco для получения доступа к незащищенным устройствам:

  • CVE-2025-20333 (CVSS 9.9): Некорректная проверка входных данных, позволяющая авторизованному удаленному злоумышленнику с действительными учетными данными VPN выполнить произвольный код от имени root с помощью специально сформированных HTTP-запросов.
  • CVE-2025-20362 (CVSS 6.5): Некорректная проверка входных данных, позволяющая неаутентифицированному удаленному злоумышленнику получить доступ к ограниченным URL-адресам с помощью специально сформированных HTTP-запросов.

Несмотря на наличие обновлений, системы, взломанные до устранения неполадок, могут оставаться скомпрометированными.

FIRESTARTER обеспечивает постоянный доступ после установки обновлений.

FIRESTARTER примечателен своей способностью сохраняться после обновлений прошивки и стандартных перезагрузок. Вредоносная программа внедряется в процесс запуска, изменяя последовательность монтирования устройства, что позволяет ей автоматически активироваться при каждой обычной перезагрузке устройства.

Только полное отключение и повторное включение питания может временно прервать работу имплантата. Стандартные команды выключения, перезагрузки или повторной загрузки не удаляют его. Исследователи также отметили сходство между FIRESTARTER и более ранним загрузчиком, известным как RayInitiator.

Глубокое манипулирование системой посредством перехвата LINA.

Следователи обнаружили, что FIRESTARTER пытается внедрить уязвимость в LINA, основной движок, отвечающий за обработку сетевых данных и операции безопасности Cisco ASA. Эта манипуляция позволяет злоумышленникам перехватывать нормальную работу и выполнять произвольный шелл-код, передаваемый через специально сформированные запросы аутентификации WebVPN, содержащие так называемый «магический пакет».

Этот механизм позволяет продолжать вредоносную деятельность даже после устранения уязвимостей.

Набор инструментов LINE VIPER расширяет возможности злоумышленников.

В ходе того же инцидента операторы развернули систему постобработки данных под названием LINE VIPER, которая значительно расширила возможности контроля над скомпрометированной средой. Было замечено, что этот инструментарий выполнял следующие действия:

  • Выполнение команд командной строки
  • Перехват сетевого трафика
  • Обход аутентификации, авторизации и учета VPN (AAA) для устройств, контролируемых злоумышленником.
  • Подавление оповещений syslog
  • Активность CLI администратора сбора данных
  • Принудительная отложенная перезагрузка системы

По имеющимся данным, повышенные привилегии, предоставленные LINE VIPER, открыли путь для развертывания FIRESTARTER до 25 сентября 2025 года. Злоумышленники смогли вернуться к использованию устройства еще в предыдущем месяце.

Связи с более масштабными шпионскими операциями

Исследователи, отслеживающие эксплуатацию под обозначением UAT4356, также известным как Storm-1849, связали эту деятельность с более ранними кампаниями. Предыдущие оценки от мая 2024 года предполагали возможные связи с Китаем.

Ранее эта группа вредоносных программ была связана с ArcaneDoor, кампанией, которая использовала две уязвимости нулевого дня Cisco для развертывания собственного вредоносного ПО, применяемого для разведки и перехвата сетевого трафика.

Критические меры по устранению последствий для пострадавших организаций

Специалисты по безопасности настоятельно рекомендуют рассматривать любое подтвержденное нарушение безопасности, затрагивающее платформы Cisco Secure ASA или Firepower Threat Defense (FTD), как полный сбой доверия. Существующие конфигурации устройств следует считать ненадежными.

Для полного устранения FIRESTARTER организациям следует переустановить операционную систему на затронутых устройствах и обновить программное обеспечение до исправленных версий Cisco. До завершения переустановки рекомендуется выполнить холодную перезагрузку, физически отключив и снова подключив питание устройства, поскольку команды перезагрузки, выполняемые программным обеспечением, не удалят постоянно присутствующий вредоносный код.

В тренде

Мошенничество с PDF-файлами в электронных письмах...

Мошеннические сайты, Фишинг
Киберпреступники продолжают совершенствовать свою тактику, что делает фишинговые кампании все более сложными для обнаружения. Особенно коварная угроза — это мошенничество с электронными письмами в...

Наиболее просматриваемые

Загрузка...