Агентство по безопасности инфраструктуры и кибербезопасности США (CISA) сообщило, что в сентябре 2025 года было скомпрометировано устройство Cisco Firepower одного из федеральных гражданских агентств. В ходе атаки использовалось новое вредоносное ПО под названием FIRESTARTER, разработанное в качестве бэкдора для постоянного удаленного доступа. Эта информация была опубликована совместно с Национальным центром кибербезопасности Великобритании (NCSC).
FIRESTARTER: бэкдор, игнорирующий обновления безопасности 🔥
Вредоносное ПО FIRESTARTER действует как бэкдор, позволяя злоумышленникам поддерживать удаленный контроль над скомпрометированным устройством. Самое тревожное — ему удалось пережить установку исправлений безопасности на оборудовании Cisco Firepower, работавшем под управлением программного обеспечения Adaptive Security Appliance (ASA). Это указывает на то, что вредоносное ПО использует продвинутые методы сохранения присутствия, возможно, скрываясь в памяти или эксплуатируя недокументированные ошибки прошивки, что затрудняет его обнаружение и удаление с помощью обычных методов установки исправлений.
Патч, который ничего не исправил, но стоил тех же денег 💀
Сетевые администраторы установили исправления в надежде спать спокойно, но FIRESTARTER решил остаться жить в маршрутизаторе, как тот арендатор, который не платит за жилье. CISA и NCSC теперь рекомендуют проверять журналы, но злоумышленник наверняка уже стер свои следы, наслаждаясь виртуальным кофе. Единственное, что более настойчиво, чем это вредоносное ПО — это бюрократия при утверждении смены пароля.