По данным киберразведчиков из CISA и их британских коллег, которым не удалось раскрыть название ведомства, неизвестная ранее вредоносная программа-бэкдор под названием Firestarter успешно атаковала федеральное агентство США.
К агентствам Федеральной гражданской исполнительной власти (FCEB) относятся NASA; само Министерство внутренней безопасности (киберспециалисты CISA входят в оперативное подразделение Министерства внутренней безопасности); ФБР; Министерство юстиции (DoJ); Налоговая служба (IRS); Министерство по делам ветеранов; Министерство здравоохранения и социальных служб (HHS) и другие.
Firestarter, описанный как бэкдор с возможностями удаленного доступа, получил свое название в честь Cisco Secure Firewall Adaptive Security Appliance (ASA) и Cisco Secure Firewall Threat Defense (FTD) — двух продуктов, которые атаковала вредоносная программа.
В консультативном заключении CISA говорится, что вредоносная программа была использована для атаки только на одно агентство FCEB, хотя есть подозрения, что она является частью более широкой кампании, нацеленной в частности на сети государственных органов и объекты критической национальной инфраструктуры.
Кроме того, единственный инцидент, который CISA расследовала на данный момент, касался устройства Cisco Firepower под управлением ПО ASA, хотя устройства Secure Firewall также считаются уязвимыми для атаки.
Несмотря на предполагаемую нацеленность на государственные органы и критическую национальную инфраструктуру, всем организациям в США и Великобритании рекомендуется принять превентивные меры.
CISA заявила, что Firestarter отличалась особой изощренностью, поскольку она сохраняла постоянный доступ к скомпрометированным сетевым устройствам даже после их обновления, что позволяло злоумышленникам повторно проникать в сети жертв без необходимости использовать какие-либо новые уязвимости.
Вредоносное ПО было обнаружено в результате планового непрерывного мониторинга сети. Всем организациям рекомендуется использовать правила YARA при проведении анализа памяти из дампов ядра устройств или образов дисков.
И CISA, и ее британские коллеги из Национального центра кибербезопасности (NCSC) просят любую организацию, подвергшуюся атаке, собрать все доказательства и предоставить их для сбора разведывательной информации.
Результаты, полученные на этой неделе, являются обновлением более раннего заключения CISA, предупреждавшего о других атаках на продукты Cisco, которые использовали CVE-2025-20333 (9.9) и CVE-2025-20362 (6.5).
Аналогичным образом, Cisco связывает последние атаки с той же группой, которую подозревает в организации других атак в прошлом году.
Switchzilla отслеживает эту группу под идентификатором UAT-4356, но последовательно отказывается приписывать ее какому-либо государству, включая четырех основных геополитических противников США (Китай, Россия, Иран, Северная Корея), хотя и заявляла, что группа, по-видимому, поддерживается правительством.
Новость о компрометации федерального агентства появилась всего через несколько часов после того, как разведывательные службы совместно опубликовали второе за этот месяц предупреждение об наступательных кибероперациях Китая.
В втором предупреждении такого рода за последние недели участвовали десять стран, включая членов альянса «Пять глаз», которые вновь заявили, что Китай создает тайные сети, например, путем вербовки потребительских SOHO-роутеров, для осуществления кибератак на противников. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Connor Jones
