ABŞ və Birləşmiş Krallıqdan ciddi xəbərdarlıq
ABŞ və Birləşmiş Krallıq kibertəhlükəsizlik orqanları, dövlət tərəfindən dəstəklənən bir hacker qrupunun Cisco şəbəkə təhlükəsizlik cihazlarında xüsusi arxakapı quraşdırdığını açıqladı. Bu arxakapı, sistem yeniləmələrindən və standart yenidən yükləmələrdən sonra belə fəaliyyətini davam etdirə bilir. Təhlükənin həcmi nəzərə alındıqda, bu, ən azı 2025-ci ilin sonundan etibarən dövlət və kritik infrastruktur şəbəkələrinə yönəlmiş kampaniyanın ciddi şəkildə artırılması kimi qiymətləndirilir.
Firestarter arxakapısı haqqında məlumat
Kibertəhlükəsizlik və İnfrastruktur Təhlükəsizliyi Agentliyi (CISA) və Birləşmiş Krallığın Milli Kiber Təhlükəsizlik Mərkəzi (NCSC) tərəfindən birgə nəşr olunan malware təhlili hesabatında, arxakapıya Firestarter kod adı verilib. Cisco-nun təhlükəsizlik bölməsi Talos, bu malware-i UAT-4356 adlı təhlükəli aktordan qaynaqlanmasını qeyd edib. Eyni qrupun 2024-cü ildə ArcaneDoor adı ilə tanınan kəşfiyyat kampaniyasında da şəbəkə perimetr cihazlarını hədəf aldığını təsdiqləyib.
ABŞ federal orqanlarında təhlükənin aşkar edilməsi
CISA, Firestarter-ın ABŞ federal mülki qurumlarından birinin Cisco Firepower cihazında aşkar edildiyini bildirib. Bu, davamlı şəbəkə monitorinqi nəticəsində şübhəli əlaqələrin müəyyənləşdirilməsi ilə mümkün olub. Kəşf, cümə günü yeni təcili direktivin verilməsi ilə nəticələndi. Bu direktivə əsasən, bütün federal mülki qurumların Cisco firewall infrastrukturunu yoxlaması və cihaz yaddaşının şəkillərini analiz üçün göndərməsi tələb olunur.
Arxakapının təhlükəli xüsusiyyətləri
Firestarter-ın əsas təhlükəsi, Cisco tərəfindən sentyabr 2025-ci ildə buraxılan təhlükəsizlik düzəlişlərindən sonra belə cihazlarda qalmasıdır. Bu düzəlişlər, CVE-2025-20333 (VPN veb-server komponentində uzaq kod icrası zəifliyi) və CVE-2025-20362 (qeyri-müəyyən giriş zəifliyi) kimi iki zəifliyi həll edirdi. UAT-4356 həmin zəifliklərdən istifadə edərək ilk girişi həyata keçirmişdi.
CISA-nın məlumatına görə, düzəlişlərdən əvvəl zəifliyə məruz qalan cihazlarda hələ də arxakapı ola bilər. Firestarter, cihazın yüklənmə ardıcıllığını idarə edən Cisco Service Platform mount list adlı konfiqurasiya faylını manipulyasiya etməklə fəaliyyətini davam etdirir. Cihaz yenidən yükləndikdə, malware özünü ikinci bir yerə köçürür və mount list-i yenidən yazaraq sistem yenidən işə düşdükdə özünü bərpa edir. Standart yenidən yükləmə isə arxakapını silmir. Yalnız fiziki olaraq cihazın elektrikdən kəsilməsi, bu təhlükəsizliyi yaddan çıxara bilir.
Malware-in işləmə mexanizmi
Firestarter, Cisco-nun Adaptive Security Appliance və Firepower Threat Defense proqram təminatının əsas şəbəkə və firewall koduna LINA daxilində zərərli shellcode yeridir. Bundan sonra, malware, VPN autentifikasiyası üçün istifadə olunan xüsusi şəbəkə sorğularını tutur. Sorğu daxilində gizli trigger ardıcıllığı aşkar edildikdə, hücuma məruz qalan tərəf, hüquqvericilər tərəfindən təmin olunan kodu icra edir və nəticədə cihaza arxakapı daxil olur.
Digər əlaqəli təhlükəli proqramlarla oxşarlıqlar
Cisco Talos-un qeyd etdiyinə görə, Firestarter, əvvəllər sənədləşdirilmiş RayInitiator adlı implantla texniki cəhətdən böyük oxşarlıqlar daşıyır. Bu, göstərir ki, həmin alətlər, UAT-4356-nın arsenalında ümumi mənşəyə və ya inkişaf tarixinə malik ola bilər.
CISA tərəfindən analiz edilmiş federal qurum hadisəsində, hücumçular əvvəlcə Line Viper adlı ayrı bir implantdan istifadə edərək cihaz konfiqurasiyalarına, məlumatlara və şifrələmə açarlarına giriş əldə etmişdilər. Firestarter isə sentyabr 2025-ci ildə Cisco tərəfindən buraxılan düzəlişlərdən əvvəl quraşdırılmışdı. Qurum sistemləri yenilədikdən sonra belə, Firestarter fəaliyyətini davam etdirmiş və hücumçular bundan istifadə edərək yenidən hücumlar həyata keçirmişdilər.
Təhlükəsizlik tədbirləri və tövsiyələr
- Bütün federal mülki qurumların Cisco firewall infrastrukturunu dərhal yoxlaması tələb olunur;
- Cihaz yaddaşının şəkilləri analiz üçün CISA-ya göndərilməlidir;
- Cihazların fiziki olaraq yenidən yüklənməsi tövsiyə olunur;
- Şəbəkə monitorinqinin davamlı olaraq həyata keçirilməsi vacibdir;
- Cisco tərəfindən buraxılan son düzəlişlərin tətbiqi zəruridir;
- Təhlükəsizlik mütəxəssisləri tərəfindən təcili təhlükəsizlik auditi aparılması məsləhətdir.
Əlaqəli xəbərlər
Cisco-nun ən təhlükəli zərərverici zərbəsinə səbəb olan sıfır-gün zəifliyi
Attackers returned once again to a common target with a massive user base by exploiting a max-severity zero-day vulnerability affecting Cisco Catalyst...
Pentagonun rəhbərlik etdiyi kibermühəndislikdə süni intellektin inqilabi rolu
Advanced artificial intelligence models will “fundamentally change warfare as we know it,” a top cyber official at the Defense Department said Thursda...
ABŞ-də kiber təhlükəsizlik rəhbəri: AI dövründə şəxsiyyət təhlükəsizliyi prioritet olmalıdır
As AI becomes more integrated into federal IT (and attacker toolsets) government agencies will need to focus their resources on regulating and monitor...
Foxconn-un Şimali Amerikadakı zavodlarına kiberhücum qeydə aldığını təsdiqlədi
Foxconn, one of the world’s largest manufacturers of electronics sold by major tech vendors, is recovering from a cyberattack that disrupted some of t...
İnsanların Defekasiyasını Analiz Edən AI Tətbiq: 150 Mini Defekasiya Şəkli Veritabanı Satışa Çıxarılır
A few weeks ago, I came across a wild post on Reddit’s r/DHExchange, a subreddit for trading large datasets: “I hoarded a large database of something...
İnkişaf etmiş İİ sistemləri avtonom kiberhücumları həll etmədə yeni rekord qırdı – araşdırma
Two of the most advanced artificial intelligence models — Anthropic’s Claude Mythos Preview and OpenAI’s GPT-5.5 — have significantly surpassed the al...
ABŞ Konqresində Anthropic-in AI modeli Mythos və kiber təhlükəsizlik riskləri üzrə gizli məruzə keçirilib
The House Homeland Security Committee is digging into Anthropic’s AI model Mythos in a series of briefings and hearings, as questions proliferate on w...
Silahlanmış İİ: Fırıldaqçılıq və şəxsiyyət oğurluğunun yeni dövrəsi
Today’s enterprise executives are navigating a complex landscape of AI-driven challenges, but none is more urgent than the rapid escalation of AI-gene...