У вересні 2025 року одне з цивільних федеральних відомств США стало жертвою високоточній атаці на мережевий периметр. За спільними даними CISA (Агентство з кібербезпеки та безпеки інфраструктури США) і NCSC Великої Британії, зловмисникам вдалося скомпрометувати міжмережевий екран Cisco Firepower, що працює під керуванням Adaptive Security Appliance (ASA), і встановити новий бекдорний імплант FIRESTARTER.
Цільова компрометація Cisco Firepower у федеральному відомстві США
Інцидент із FIRESTARTER описується як частина широкомасштабної кампанії, спрямованої на мережеві пристрої Cisco Adaptive Security Appliance (ASA) та Cisco Firepower Threat Defense (FTD). Атакувальники зосередилися на компрометації саме прошивки пограничних пристроїв, оскільки вони обробляють увесь вхідний і вихідний трафік організації та часто мають привілейований доступ до критичних сегментів мережі.
Для початкового проникнення використовувалися вже виправлені вразливості, зокрема CVE-2025-20333 та CVE-2025-20362, які раніше фігурували в операції ArcaneDoor. Це підкреслює ключову проблему: навіть після виходу патчів організації, що не оновили прошивки своєчасно, залишаються вразливими до цільових експлойтів.
Бекдор FIRESTARTER та експлуатація вразливостей Cisco ASA/FTD
UAT4356 (Storm‑1849) і зв’язок із кампанією ArcaneDoor
Активність з експлуатації Cisco ASA/FTD відстежується Cisco під ідентифікатором UAT4356 (Storm‑1849). Дослідження компанії Censys за 2024 рік припускають зв’язок цієї кампанії з операторами, асоційованими з Китаєм, однак остаточна атрибуція наразі відкрита. У межах ArcaneDoor зловмисники вже застосовували спеціалізовані модулі для перехоплення трафіку та прихованої розвідки в інфраструктурі жертв, а FIRESTARTER став логічним продовженням цієї тактики.
Після успішної експлуатації вразливостей атакувальники розгорнули на скомпрометованому міжмережевому екрані постексплуатаційний набір інструментів LINE VIPER, який слугував проміжною ланкою для інсталяції основного імпланта FIRESTARTER.
Постексплуатаційний набір LINE VIPER: повний контроль над міжмережевим екраном
LINE VIPER призначений для глибокого контролю над пристроєм Cisco Firepower/ASA після первинного зламу. За даними CISA та Cisco, цей інструментарій дозволяє:
— віддалено виконувати команди CLI на пристрої;
— знімати дампи трафіку (packet capture) для аналізу або викрадення даних;
— обходити механізми VPN‑аутентифікації та AAA для вузлів, що належать зловмиснику;
— пригнічувати критичні повідомлення syslog, маскуючи активність;
— перехоплювати команди, які вводять адміністратори;
— ініціювати відкладене перезавантаження пристрою.
Такий рівень доступу фактично прирівнюється до повного адміністраторського контролю над міжмережевим екраном. Через цей канал і було доставлено та закріплено бекдор FIRESTARTER, який, за даними розслідування, присутній на пристрої щонайменше з 25 вересня 2025 року.
Технічний профіль FIRESTARTER: стійкий Linux‑імплант для Cisco ASA та FTD
FIRESTARTER — це Linux ELF‑бінарний імплант, спеціально розроблений для довготривалої присутності на мережевих пристроях Cisco. Ключова властивість — виняткова стійкість до перезавантажень та оновлень:
— імплант вбудовується в послідовність завантаження й модифікує процес монтування файлових систем;
— автоматично активується під час кожного штатного перезапуску;
— зберігається навіть після встановлення нових версій прошивки ASA/FTD.
Згідно з публічними рекомендаціями Cisco, видалити активний імплант тимчасово можна лише шляхом «холодного» перезапуску — повного фізичного знеструмлення пристрою. Стандартні команди shutdown, reload, reboot не очищують середовище, у якому закріпився FIRESTARTER. За підходом до персистентності імплант має спільні риси з раніше описаним буткітом RayInitiator, що може вказувати на повторне використання ідей або кодової бази.
Персистентність через LINA та активація через WebVPN
Критичним елементом атаки є спроба інтеграції власного «хука» у LINA — основний програмний рушій Cisco ASA, який відповідає за обробку трафіку та реалізацію політик безпеки. Впровадження перехоплювача в LINA дає змогу змінювати нормальний порядок виконання коду та запускати довільний shell‑код, що надсилається оператором APT‑групи.
Cisco описує FIRESTARTER як бекдор, який активується спеціально сформованими WebVPN‑запитами аутентифікації, що містять так званий «магічний пакет». Коли LINA‑процес обробляє такий запит, відбувається запуск вбудованого шкідливого коду, зокрема повторне завантаження LINE VIPER чи інших модулів.
Принципово важливо, що навіть після встановлення офіційних патчів для CVE-2025-20333 та CVE-2025-20362 пристрої, вже заражені FIRESTARTER, залишаються скомпрометованими, оскільки оновлення прошивки не видаляє сам імплант.
Рекомендації Cisco: повне перевстановлення та «холодний» перезапуск
Cisco настійно рекомендує при будь-яких ознаках компрометації повністю перевстановити образ (reimage) пристрою і оновити його до актуальної версії, розглядаючи всі елементи конфігурації як потенційно недостовірні. Безпечна конфігурація повинна відновлюватися лише з перевірених офлайн‑копій.
До моменту повного відновлення виробник радить виконати фізичне відключення живлення (cold restart), щоб тимчасово видалити активний компонент FIRESTARTER з пам’яті. Жодних CLI‑команд для цього недостатньо — необхідно фактично від’єднати й знову під’єднати кабель живлення.
Китайські ботнети SOHO‑роутерів та тренд атак на пограничні пристрої
Публікація технічних деталей FIRESTARTER збіглася в часі з попередженням США, Великої Британії та міжнародних партнерів про масштабні ботнети з скомпрометованих SOHO‑роутерів і IoT‑пристроїв, які використовуються угрупованнями з ймовірним китайським походженням для маскування розвідувальної активності.
Групи рівня держави, серед яких виділяють Volt Typhoon і Flax Typhoon, формують розподілені мережі з домашніх маршрутизаторів, камер відеоспостереження, відеореєстраторів та іншої слабко захищеної IoT‑інфраструктури. Такі ботнети слугують проміжними вузлами для атак на об’єкти критичної інфраструктури і забезпечують модель «низька вартість — низький ризик — правдоподібне заперечення».
Зловмисний трафік часто багаторазово транзитують через ланцюжок скомпрометованих SOHO‑роутерів, що виступають як traversal nodes. Вихідний вузол зазвичай добирається в тому ж регіоні, де розташована жертва, що ускладнює геолокацію й мережеву аналітику. Додаткову складність створює те, що кілька APT‑груп можуть одночасно використовувати одну й ту саму інфраструктуру, а списки IP‑адрес швидко втрачають актуальність.
Поточні кейси з FIRESTARTER і ботнетами SOHO‑пристроїв демонструють єдину стратегію: державні APT‑оператори системно атакують пограничні мережеві пристрої — від домашніх маршрутизаторів до корпоративних і державних міжмережевих екранів. Їхня мета — або перетворити ці вузли на проксі‑інфраструктуру, або отримати доступ до конфіденційного трафіку й систем керування.
Організаціям доцільно невідкладно переглянути захист мережевого периметра: підтримувати актуальні версії прошивок Cisco ASA/FTD і SOHO‑роутерів, планово виконувати «холодні» перезапуски підозрілих пристроїв, моніторити аномальні VPN‑сесії та події syslog, застосовувати сегментацію мережі й принципи Zero Trust. Регулярний аудит мережевих пристроїв і дотримання рекомендацій виробників та державних CERT‑центрів суттєво знижують ризик того, що ваша інфраструктура стане частиною чужого APT‑ботнету або стійкою точкою присутності на кшталт FIRESTARTER.
