Госведомство США было взломано через Cisco firewall
Американское федеральное ведомство было скомпрометировано через уязвимости в Cisco Firepower. После установки обновлений злоумышленники сохранили доступ с помощью бэкдора Firestarter. CISA выпустила директиву и потребовала проверить устройства Cisco.
Компрометация одного из федеральных гражданских ведомств США произошла через уязвимости в межсетевых экранах Cisco Firepower, работающих на базе платформы ASA (Adaptive Security Appliance). Инцидент выявило Агентство по кибербезопасности и защите инфраструктуры США (CISA), отвечающее за мониторинг и реагирование на угрозы в федеральных сетях: специалисты зафиксировали подозрительные подключения, подтвердили факт взлома и начали анализ — сообщило издание The Record 23 апреля.
Ключевой проблемой оказался не сам факт взлома, а сохранение доступа после его устранения. На устройстве обнаружили вредоносный компонент Firestarter, который позволял возвращаться на устройство без повторной эксплуатации уязвимостей. По данным CISA, имплант был установлен до 25 сентября 2025 года, точная дата заражения не определена.
Первичный доступ связывают с эксплуатацией уязвимостей CVE-2025-20333 и CVE-2025-20362 в Cisco ASA и Firepower Threat Defense. Исправления для них были выпущены в сентябре 2025 года, однако установка патчей не устраняла уже внедренный бэкдор. Если устройство было скомпрометировано до обновления, доступ мог сохраняться.
Firestarter обеспечивал устойчивость после перезагрузок и обновлений. Он изменял механизм запуска компонентов системы, восстанавливался после остановки и снова активировался при возврате устройства в рабочее состояние. Обычная перезагрузка не удаляла имплант — для его удаления, по данным специалистов, требовалось физическое отключение устройства от питания.
В рамках атаки также использовался компонент Line Viper. Он позволял получать доступ к конфигурации устройства, административным учетным данным, сертификатам и закрытым ключам. Через него злоумышленники могли создавать нелегитимные VPN-сессии в обход механизмов аутентификации.
После установки обновлений атакующие не потеряли контроль полностью. В марте 2026 года они использовали Firestarterдля повторного развертывания Line Viper. Таким образом доступ к устройству был восстановлен уже без эксплуатации исходных уязвимостей.
Ранее SecPost писал о масштабных обновлениях Cisco, закрывающих десятки уязвимостей в системах сетевой безопасности, включая критические проблемы, требующие немедленного обновления. Текущий инцидент показывает, что даже своевременное устранение уязвимостей не гарантирует очистку уже скомпрометированных устройств.
CISA и Национальный центр кибербезопасности Великобритании выпустили рекомендации по проверке Cisco-устройств. Федеральные агентства США должны провести инвентаризацию, проверить инфраструктуру Cisco Firepower и Secure Firewall и передать данные для анализа. При подтверждении компрометации возможны дополнительные меры, включая физическое отключение устройств.
Firestarter связывают с группой UAT-4356, которую ранее относили к кампании ArcaneDoor 2024 года. Конкретная страна происхождения атакующих не названа. Отдельно отмечается, что атака отражает устойчивый тренд: пограничные сетевые устройства остаются приоритетной целью, поскольку через них проходят учетные данные, VPN-доступ и значительная часть внутреннего трафика.
Читайте также
