Backdoor persiste mesmo após correções da Cisco
Um grupo de hackers patrocinado por Estado implantou um backdoor personalizado em dispositivos de segurança de rede Cisco que consegue sobreviver a atualizações de firmware e reinicializações padrão, informaram nesta quinta-feira autoridades de segurança cibernética dos Estados Unidos e do Reino Unido. A descoberta representa uma escalada significativa em campanha que tem como alvo redes governamentais e de infraestrutura crítica desde pelo menos o final de 2025.
Detecção e resposta emergencial
A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) e o Centro Nacional de Segurança Cibernética do Reino Unido (NCSC) publicaram conjuntamente um relatório de análise de malware identificando o backdoor, chamado Firestarter. A divisão de inteligência de ameaças da Cisco, Talos, atribuiu o malware a um ator de ameaça rastreado como UAT-4356.
A CISA confirmou ter descoberto o Firestarter em um dispositivo Cisco Firepower de uma agência federal civil dos EUA após identificar conexões suspeitas por meio de monitoramento contínuo de rede. A descoberta levou à emissão de uma diretiva emergencial atualizada nesta quinta-feira, exigindo que todas as agências federais civis auditem sua infraestrutura de firewalls Cisco e enviem snapshots de memória dos dispositivos para análise até sexta-feira.
Mecanismo de persistência avançado
O principal motivo da diretiva atualizada é a capacidade do grupo de ataque de persistir em dispositivos comprometidos, mesmo após empresas terem aplicado os patches de segurança lançados pela Cisco em setembro de 2025. Esses patches abordaram duas vulnerabilidades — CVE-2025-20333 (execução remota de código no componente de servidor web VPN) e CVE-2025-20362 (acesso não autorizado) — que o UAT-4356 explorou para obter acesso inicial.
Segundo a CISA, dispositivos comprometidos antes da aplicação dos patches ainda podem abrigar o implante. O Firestarter permite que os atacantes alcancem persistência manipulando a lista de montagem da Cisco Service Platform, um arquivo de configuração que governa quais programas são executados durante a sequência de inicialização do dispositivo.
Quando o dispositivo recebe um sinal de término ou entra em reinicialização, o malware copia a si mesmo para um local secundário e reescreve a lista de montagem para restaurar e relançar a si mesmo após o sistema voltar online. Uma reinicialização de software padrão não remove o implante. Apenas uma reinicialização forçada — desconectando fisicamente o dispositivo da fonte de energia — é suficiente para limpar o mecanismo de persistência da memória, segundo CISA e Cisco.
Injeção de código malicioso e acesso remoto
Em seguida, o malware injeta um shellcode malicioso no LINA, o código central de rede e firewall dos softwares Cisco Adaptive Security Appliance e Firepower Threat Defense. Uma vez embutido, o malware intercepta um tipo específico de solicitação de rede normalmente usado para autenticação VPN.
Quando uma solicitação chega contendo uma sequência oculta de gatilho, ele executa o código fornecido pelos atacantes, dando-lhes um backdoor no dispositivo.
Conexão com campanha em andamento
A Talos da Cisco observou que o Firestarter compartilha semelhanças técnicas significativas com um implante anteriormente documentado chamado RayInitiator, sugerindo que as ferramentas compartilham uma origem ou histórico de desenvolvimento comum dentro do arsenal do UAT-4356.
No incidente analisado pela CISA em uma agência federal, os atacantes primeiro implantaram um implante separado, chamado Line Viper, para obter acesso a configurações de dispositivos, credenciais e chaves de criptografia. O Firestarter foi instalado logo em seguida, antes que os patches de setembro de 2025 da Cisco fossem aplicados nesses dispositivos específicos. Quando a agência atualizou seus sistemas, o Firestarter permaneceu nos dispositivos, e os atores o usaram para redeployar outros malwares.
"Este caso demonstra a sofisticação crescente dos atacantes patrocinados por Estado, capazes de manter acesso persistente mesmo após a aplicação de patches." — Relatório conjunto CISA e NCSC
Artigos relacionados
AI avançada é classificada como 'guerra revolucionária' pelo Pentágono
Advanced artificial intelligence models will “fundamentally change warfare as we know it,” a top cyber official at the Defense Department said Thursda...
Segurança de identidades se torna prioridade máxima com a IA, alerta autoridade da Casa Branca
As AI becomes more integrated into federal IT (and attacker toolsets) government agencies will need to focus their resources on regulating and monitor...
Foxconn sofre ataque cibernético e interrompe fábricas na América do Norte
Foxconn, one of the world’s largest manufacturers of electronics sold by major tech vendors, is recovering from a cyberattack that disrupted some of t...
App de IA que analisa fezes tenta vender banco de dados com 150 mil imagens de usuários
A few weeks ago, I came across a wild post on Reddit’s r/DHExchange, a subreddit for trading large datasets: “I hoarded a large database of something...
IA supera todas as expectativas em testes de cibersegurança autônoma, revelam pesquisadores
Two of the most advanced artificial intelligence models — Anthropic’s Claude Mythos Preview and OpenAI’s GPT-5.5 — have significantly surpassed the al...
Comitê de Segurança Interna dos EUA investiga modelo de IA Mythos da Anthropic e riscos cibernéticos
The House Homeland Security Committee is digging into Anthropic’s AI model Mythos in a series of briefings and hearings, as questions proliferate on w...
IA Generativa: A Nova Fronteira da Fraude e do Roubo de Identidade
Today’s enterprise executives are navigating a complex landscape of AI-driven challenges, but none is more urgent than the rapid escalation of AI-gene...
OpenAI lança Daybreak: nova ferramenta de IA para reforçar a segurança cibernética corporativa
OpenAI has unveiled Daybreak, a cybersecurity initiative that combines the company’s large language models with its Codex agentic framework to help or...