Читайте статью
Image

NGFW, который тормозит сеть — это не защита

Эксперты протестировали 12 NGFW в условиях реальной нагрузки. Результаты расходятся с обещаниями вендоров.

Проще выключить из розетки. В США признали бессилие перед новым вирусом для Cisco

leer en español

США Cisco FIRESTARTER ArcaneDoor Китай
Проще выключить из розетки. В США признали бессилие перед новым вирусом для Cisco
США Cisco FIRESTARTER ArcaneDoor Китай

Хакеры поселились в центре американской киберзащиты.

image

Неназванное американское ведомство взломали через уязвимость в сетевом оборудовании Cisco, но на этом история не закончилась. Злоумышленники закрепились внутри системы так, что смогли вернуться спустя полгода, уже без повторного взлома.

Агентство по кибербезопасности и защите инфраструктуры США (CISA) сообщило, что атака произошла в сентябре 2025 года через две уязвимости в межсетевых экранах Cisco. Речь идёт о CVE-2025-20333 и CVE-2025-20362 в устройствах линейки Cisco Adaptive Security Appliance. Проникнув в систему, злоумышленники установили вредоносную программу FIRESTARTER, которая сохраняла скрытый доступ к устройству даже после того, как его обновили.

В марте 2026 года атакующие снова подключились к тому же устройству, не используя уязвимости повторно. FIRESTARTER позволил сохранить доступ и обойти защитные меры. Проверяя системы, специалисты обнаружили вредоносное ПО на одном из устройств Cisco Firepower, работающем под управлением программного обеспечения ASA.

Дополнительно злоумышленники применили другой инструмент – Line Viper. С его помощью они создали несанкционированные VPN-сессии, обходившие все политики аутентификации. Через такие подключения атакующие получили полный доступ к устройству, включая учётные данные администраторов, сертификаты и закрытые ключи.

По данным ведомства, заражение произошло ещё до 25 сентября 2025 года, но точную дату установить не удалось. Даже обновлённые устройства, в которые злоумышленники проникли до того, как уязвимости закрыли, остаются под угрозой из-за закрепившегося вредоносного кода. Злоумышленники также использовали старые учётные записи сотрудников, которые формально существовали, но уже не применялись в работе.

Власти не называют страну, стоящую за атакой. Однако ранее Cisco связывала эти атаки с кампанией ArcaneDoor, обнаруженной в 2024 году, за которой стояли китайские государственные структуры.

Новые рекомендации ведомство выпустило совместно с Национальным центром кибербезопасности Великобритании. В отдельных материалах описаны методы группировок Volt Typhoon и Flax Typhoon, которых ранее связывали с атаками на государственные структуры и критическую инфраструктуру США.

Федеральным ведомствам США предписали срочно проверить системы на наличие FIRESTARTER и отчитаться о результатах. В отдельных случаях может потребоваться радикальная мера – физически отключить устройство от питания, чтобы полностью избавиться от вредоносного кода. При этом подчёркивается, что одних обновлений недостаточно: даже исправленные системы могут оставаться под контролем злоумышленников.