Hackere gemte sig på Cisco-brandporte i månedsvis – selv efter opdateringer

En statsstøttet hackergruppe har installeret en avanceret og vedvarende bagdør på Cisco-brandporte, som kan overleve firmwareopdateringer og almindelige genstart. Det fremgår af en fælles advarsel fra amerikanske og britiske cybermyndigheder, der beskriver en alvorlig eskalering af et angrebskampagne rettet mod regeringer og kritisk infrastruktur siden slutningen af 2023.

Cybersecurity and Infrastructure Security Agency (CISA) og Storbritanniens National Cyber Security Centre (NCSC) offentliggjorde onsdag en fælles malware-analyse, der identificerer bagdøren under kodenavnet Firestarter. Cisco’s trusselsintelligensafdeling, Talos, tilskriver malware’en til en aktør, de betegner som UAT-4356. Den samme gruppe stod bag et spionageangreb i 2024, kendt som ArcaneDoor, hvor målet var at kompromittere netværksperimeterenheder.

CISA bekræfter, at Firestarter blev opdaget på en Cisco Firepower-enhed tilhørende en amerikansk føderal civil myndighed. Opdagelsen skete efter mistænkelige netværkstilslutninger blev identificeret via løbende overvågning. Fundet førte til en opdateret nødforanstaltning, der pålægger alle føderale civile myndigheder at gennemgå deres Cisco-brandporte og indsende hukommelsesdumps til analyse inden fredag.

Bagdøren overlever sikkerhedsopdateringer

Den største bekymring bag den opdaterede direktiv er hackergruppens evne til at forblive på kompromitterede enheder, selv efter virksomheder har installeret de sikkerhedsopdateringer, som Cisco udsendte i september 2023. Disse opdateringer rettede to sårbarheder – CVE-2023-20333 (en fjernkodeudførelsessårbarhed i VPN-webserverkomponenten) og CVE-2023-20362 (en uautoriseret adgangssårbarhed) – som UAT-4356 udnyttede til at få initial adgang.

Ifølge CISA kan enheder, der blev kompromitteret før opdateringerne, stadig være inficerede med Firestarter. Bagdøren sikrer sin overlevelse ved at manipulere med Cisco Service Platform-mountlisten, en konfigurationsfil, der styrer, hvilke programmer der kører under enhedens opstartssekvens.

Når enheden modtager et afslutningssignal eller genstartes, kopierer malware’en sig selv til en sekundær placering og redigerer mountlisten for at genoprette og genstarte sig selv, når systemet kommer online igen. En standard softwaregenstart fjerner ikke bagdøren – kun en hård genstart, hvor enheden fysisk afbrydes fra strømforsyningen, kan fjerne den vedvarende mekanisme fra hukommelsen, ifølge både CISA og Cisco.

Herefter injicerer malware’en skadelig shellkode i LINA, det centrale netværks- og firewallkode for Cisco’s Adaptive Security Appliance og Firepower Threat Defense-software. Når malware’en er integreret, aflytter den en bestemt type netværksanmodning, der normalt bruges til VPN-autentificering. Hvis en anmodning indeholder en skjult triggersekvens, udfører den kode leveret af angriberne, hvilket giver dem en bagdør til enheden.

Tilknytning til igangværende kampagne

Cisco Talos påpeger, at Firestarter deler betydelige tekniske ligheder med et tidligere dokumenteret implantat kaldet RayInitiator, hvilket tyder på, at værktøjerne stammer fra samme kilde eller udviklingshistorie inden for UAT-4356’s arsenal.

I det konkrete tilfælde analyseret af CISA installerede angriberne først et separat implantat, kaldet Line Viper, for at få adgang til enhedskonfigurationer, legitimationsoplysninger og krypteringsnøgler. Firestarter blev installeret kort efter, men før Cisco’s opdateringer blev anvendt på de pågældende enheder. Da myndigheden opdaterede sine systemer, forblev Firestarter aktiv, og angriberne brugte det til at geninstallere malware’en.