В сентябре 2025 года одно из гражданских федеральных ведомств США стало жертвой целевой атаки на сетевой периметр: по данным Агентства по кибербезопасности и инфраструктурной безопасности США (CISA) и Национального центра кибербезопасности Великобритании (NCSC), был скомпрометирован межсетевой экран Cisco Firepower под управлением программного обеспечения Adaptive Security Appliance (ASA). Ключевой ролью в инциденте стала новая вредоносная программа FIRESTARTER, выполняющая функции скрытой «задней двери».
Компрометация Cisco ASA и роль уязвимостей нулевого дня
По оценке CISA и NCSC, FIRESTARTER применяется в рамках «широкомасштабной» кампании продвинутого постоянного злоумышленника (APT-актора), целью которой является получение доступа к прошивке устройств Cisco Adaptive Security Appliance (ASA) и Cisco Firepower Threat Defense (FTD). Для первоначального проникновения злоумышленники эксплуатировали уже исправленные уязвимости, включая CVE-2025-20333 и CVE-2025-20362, ранее использованные в кампании ArcaneDoor.
Cisco отслеживает эту активность под идентификатором UAT4356 (Storm-1849). Анализ, проведённый в 2024 году платформой Censys, указывает на возможную связь кампании с операторами, аффилированными с Китаем, однако окончательная атрибуция остается открытой. В рамках ArcaneDoor злоумышленники применяли специально разработанный вредоносный код для перехвата сетевого трафика и скрытой разведки в инфраструктуре жертв.
Инструментарий LINE VIPER: расширение контроля над устройством
После успешной эксплуатации уязвимостей атакующие развернули на скомпрометированном Cisco Firepower постэксплуатационный набор инструментов LINE VIPER. Этот инструмент позволяет:
— удалённо выполнять команды CLI,
— собирать дампы трафика (packet capture),
— обходить механизмы VPN‑аутентификации, авторизации и учёта (AAA) для устройств злоумышленника,
— подавлять критичные сообщения syslog,
— перехватывать команды, вводимые администраторами,
— инициировать отложенную перезагрузку устройства.
Полученный таким образом расширенный доступ использовался как канал для последующей установки FIRESTARTER. По данным расследования, задняя дверь была внедрена на устройство не позднее 25 сентября 2025 года и использовалась злоумышленниками для устойчивого доступа вплоть до недавнего времени.
FIRESTARTER: устойчивый Linux‑имплант для Cisco ASA и FTD
FIRESTARTER представляет собой Linux ELF‑бинарный файл, специально разработанный для длительной персистентности на сетевых устройствах Cisco. Вредонос:
— переживает стандартные перезагрузки и обновление прошивки,
— встраивается в последовательность загрузки, модифицируя список монтирования при старте,
— автоматически активируется при каждом нормальном перезапуске устройства.
Удаление импланта происходит только при «жёстком» отключении питания (cold restart) — простые команды shutdown, reload или reboot неэффективны. По архитектуре и подходу к персистентности FIRESTARTER частично пересекается с ранее описанным буткитом RayInitiator, что указывает на переиспользование идей и кодовой базы внутри одного или родственных семейств вредоносов.
Встраивание в LINA и выполнение произвольного кода
Критический элемент атаки — попытка внедрения «хука» (перехватчика) в LINA, основной программный движок устройств Cisco ASA, отвечающий за обработку трафика и функции безопасности. Такой хук позволяет перехватывать нормальное выполнение кода и подставлять собственные инструкции злоумышленника.
Согласно рекомендациям CISA и Cisco, этот механизм даёт возможность выполнять произвольный shell‑код, поступающий от оператора APT‑группы. В том числе таким образом может повторно загружаться и инструмент LINE VIPER. Cisco описывает FIRESTARTER как заднюю дверь, активируемую через специально сформированные WebVPN‑запросы аутентификации, содержащие «магический пакет». LINA‑процесс, обрабатывая такие запросы, инициирует выполнение вредоносного кода.
Важно, что даже после установки официальных патчей для CVE-2025-20333 и CVE-2025-20362 устройства, уже скомпрометированные FIRESTARTER, остаются заражёнными, поскольку обновление прошивки не удаляет персистентный имплант.
Рекомендации Cisco и тактика полной очистки устройств
Cisco настоятельно рекомендует при подтверждении компрометации переустанавливать образ (reimage) и обновлять устройство, а также рассматривать все конфигурационные элементы как потенциально недоверенные. Это означает необходимость тщательной проверки и, при необходимости, ручного восстановления конфигурации из заведомо безопасных источников.
До момента полной переустановки поставщик советует выполнить физическое отключение питания (cold restart), чтобы временно удалить активный имплант FIRESTARTER. Подчёркивается, что никаких команд CLI для перезагрузки недостаточно — требуется физически обесточить устройство, выдернув и вновь подключив кабель питания.
Китайские ботнеты на базе SOHO‑роутеров и IoT‑устройств
Публикация технических деталей об FIRESTARTER совпала с совместным предупреждением США, Великобритании и ряда международных партнёров о масштабных сетях скомпрометированных SOHO‑роутеров и IoT‑устройств, используемых группами с предполагаемой связью с Китаем для маскировки шпионской активности.
Группировки уровня государств, среди которых выделяются Volt Typhoon и Flax Typhoon, формируют ботнеты из домашних маршрутизаторов, систем видеонаблюдения, видеорегистраторов и прочих слабо защищённых устройств Интернета вещей. Эти сети применяются для атак на объекты критической инфраструктуры и проведения киберразведки в формате «низкая стоимость — низкий риск — правдоподобное отрицание».
Ситуацию усугубляет то, что ботнеты постоянно пополняются новыми уязвимыми устройствами, а несколько китайских APT‑групп могут одновременно использовать одну и ту же инфраструктуру. В результате статические списки IP‑адресов быстро теряют актуальность и малоэффективны как единственный инструмент защиты.
По словам западных спецслужб, трафик APT‑операторов часто многократно транзитируется через цепочку скомпрометированных SOHO‑маршрутизаторов, выступающих в роли узлов обхода (traversal nodes). Выходной узел, как правило, подбирается в том же географическом регионе, что и жертва, что усложняет сетевую аналитику и геолокацию злоумышленников.
Текущие инциденты с FIRESTARTER и ботнетами SOHO‑устройств демонстрируют единый тренд: государственно поддерживаемые группы системно атакуют пограничные устройства сети — от домашних маршрутизаторов до корпоративных и государственных межсетевых экранов. Цели — либо превратить эти узлы в прокси‑инфраструктуру, либо получить доступ к конфиденциальному трафику и управлению.
Организациям всех масштабов целесообразно пересмотреть защиту сетевого периметра: поддерживать актуальные версии прошивок Cisco ASA/FTD и SOHO‑роутеров, регулярно проводить «холодные» перезапуски подозрительных устройств, контролировать аномальные VPN‑сессии и syslog‑события, внедрять сегментацию сети и принципы Zero Trust. Комплексный аудит сетевых устройств и отслеживание рекомендаций поставщиков и государственных CERT‑центров позволяют существенно снизить риск того, что ваша инфраструктура станет частью чужого APT‑ботнета или устойчивой точки присутствия вроде FIRESTARTER.
