Eine staatlich unterstützte Hackergruppe hat eine maßgeschneiderte Hintertür in Cisco-Netzwerksicherheitsgeräten installiert, die selbst Firmware-Updates und Standard-Neustarts überdauert. Dies geht aus einer gemeinsamen Warnung US-amerikanischer und britischer Cyberbehörden hervor, die am Donnerstag veröffentlicht wurde. Die Kampagne zielt seit mindestens Ende 2023 auf Regierungsnetzwerke und kritische Infrastrukturen ab.
Firestarter: Die neue Malware mit Langzeitwirkung
Die Cybersecurity and Infrastructure Security Agency (CISA) und das britische National Cyber Security Centre (NCSC) veröffentlichten einen gemeinsamen Malware-Analysebericht, in dem die Hintertür unter dem Codenamen Firestarter identifiziert wird. Cisco Talos, die Bedrohungsintelligenz-Abteilung des Unternehmens, ordnet die Malware der Gruppe UAT-4356 zu. Diese wurde bereits für die Spionagekampagne ArcaneDoor im Jahr 2024 verantwortlich gemacht, bei der Netzwerkperimeter-Geräte kompromittiert wurden.
CISA entdeckte Firestarter auf einem Cisco Firepower-Gerät einer US-Bundesbehörde, nachdem verdächtige Netzwerkverbindungen durch kontinuierliche Überwachung auffielen. Als Reaktion darauf erließ die Behörde am Donnerstag eine aktualisierte Notfallrichtlinie, die alle zivilen Bundesbehörden verpflichtet, ihre Cisco-Firewall-Infrastruktur zu überprüfen und bis Freitag Speicherabbildungen der Geräte zur Analyse einzureichen.
Wie die Hintertür die Patches überlistet
Die größte Sorge der Behörden gilt der Fähigkeit der Angreifer, auf kompromittierten Geräten zu verbleiben – selbst nachdem Unternehmen die von Cisco im September 2025 veröffentlichten Sicherheitsupdates installiert hatten. Diese Updates schlossen zwei Schwachstellen (CVE-2025-20333 und CVE-2025-20362), die UAT-4356 ursprünglich ausnutzte, um Zugang zu erlangen. Laut CISA könnten Geräte, die vor dem Patch kompromittiert wurden, weiterhin die Schadsoftware beherbergen.
Firestarter sichert seine Persistenz, indem es die Cisco Service Platform Mount-Liste manipuliert – eine Konfigurationsdatei, die steuert, welche Programme während des Bootvorgangs ausgeführt werden. Bei einem Neustart oder einem Beendigungssignal kopiert sich die Malware in einen sekundären Speicherort und überschreibt die Mount-Liste, um sich nach dem Hochfahren des Systems erneut zu starten. Ein normaler Software-Neustart entfernt die Hintertür nicht. Nur ein Hard-Reset – das physische Trennen des Geräts von der Stromversorgung – kann den Persistenzmechanismus aus dem Speicher löschen, wie CISA und Cisco bestätigen.
Anschließend injiziert die Malware schädlichen Shellcode in LINA, den Kerncode der Cisco Adaptive Security Appliance und Firepower Threat Defense-Software. Dort fängt sie bestimmte Netzwerkanfragen ab, die normalerweise für VPN-Authentifizierungen genutzt werden. Enthält eine Anfrage eine versteckte Triggersequenz, führt sie vom Angreifer bereitgestellten Code aus und öffnet so eine Hintertür in das Gerät.
Verbindungen zu laufender Kampagne
Cisco Talos stellte fest, dass Firestarter erhebliche technische Ähnlichkeiten mit einer bereits dokumentierten Malware namens RayInitiator aufweist. Dies deutet darauf hin, dass beide Tools aus derselben Entwicklungslinie innerhalb der Gruppe UAT-4356 stammen.
In dem von CISA analysierten Vorfall bei der Bundesbehörde installierten die Angreifer zunächst eine separate Schadsoftware namens Line Viper, um Zugriff auf Gerätekonfigurationen, Anmeldedaten und Verschlüsselungsschlüssel zu erlangen. Kurz darauf folgte die Installation von Firestarter – noch bevor die betroffenen Geräte die Cisco-Patches aus September 2025 erhielten. Selbst nach dem Patch blieb die Hintertür aktiv, und die Angreifer nutzten sie anschließend, um weitere Angriffe durchzuführen.
Empfohlene Maßnahmen für betroffene Organisationen
- Durchführung einer vollständigen Überprüfung aller Cisco-Firewall-Geräte
- Einreichung von Speicherabbildungen zur Analyse bei CISA bis Freitag
- Durchführung eines Hard-Resets auf allen potenziell betroffenen Geräten
- Überprüfung der Netzwerkprotokolle auf verdächtige Aktivitäten
- Sofortige Anwendung aller verfügbaren Sicherheitsupdates
Verwandte Artikel
Cisco warnt vor kritischer Zero-Day-Lücke in SD-WAN-Systemen
Attackers returned once again to a common target with a massive user base by exploiting a max-severity zero-day vulnerability affecting Cisco Catalyst...
KI in der Kriegsführung: Pentagon-Experte warnt vor revolutionären Auswirkungen
Advanced artificial intelligence models will “fundamentally change warfare as we know it,” a top cyber official at the Defense Department said Thursda...
Cybersicherheit: Warum Identitätsmanagement im KI-Zeitalter entscheidend ist
As AI becomes more integrated into federal IT (and attacker toolsets) government agencies will need to focus their resources on regulating and monitor...
Foxconn bestätigt Cyberangriff auf nordamerikanische Fabriken – Ransomware-Gruppe Nitrogen fordert Lösegeld
Foxconn, one of the world’s largest manufacturers of electronics sold by major tech vendors, is recovering from a cyberattack that disrupted some of t...
KI-App sammelt 150.000 Stuhlproben – jetzt soll die Datenbank verkauft werden
A few weeks ago, I came across a wild post on Reddit’s r/DHExchange, a subreddit for trading large datasets: “I hoarded a large database of something...
KI übertrifft alle Erwartungen: Neue Modelle meistern autonome Cyberangriffe
Two of the most advanced artificial intelligence models — Anthropic’s Claude Mythos Preview and OpenAI’s GPT-5.5 — have significantly surpassed the al...
Geheimbriefing ebnet Weg für Kongressanhörung zu Anthropics Mythos und Cyberrisiken
The House Homeland Security Committee is digging into Anthropic’s AI model Mythos in a series of briefings and hearings, as questions proliferate on w...
KI als Waffe: Wie Betrüger mit generativer KI Identitätsdiebstahl revolutionieren
Today’s enterprise executives are navigating a complex landscape of AI-driven challenges, but none is more urgent than the rapid escalation of AI-gene...