Этот бэкдор связывают с злоумышленником, которого Cisco Talos отслеживает под внутренним кодом UAT-4356 и который известен проведением кампаний по кибершпионажу, в том числе под названием ArcaneDoor.
Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) и Национальный центр кибербезопасности Великобритании (NCSC) полагают, что злоумышленник получил первоначальный доступ, воспользовавшись проблемой отсутствия авторизации (CVE-2025-20333) и/или ошибкой переполнения буфера (CVE-2025-20362).
В ходе одного инцидента в федеральном гражданском ведомстве исполнительной власти CISA зафиксировала, что злоумышленник сначала развернул вредоносное ПО Line Viper — загрузчик шеллкода в пользовательском режиме, — а затем использовал инструмент Firestarter, который обеспечивает постоянный доступ даже после установки патчей.
“CISA не подтвердила точную дату первоначальной атаки, но полагает, что взлом произошел в начале сентября 2025 года, до того как агентство применило патчи в соответствии с ED 25-03,” — отмечает агентство в предупреждении.
Line Viper используется для установления VPN-сессий и доступа ко всем деталям конфигурации, включая административные учетные данные, сертификаты и закрытые ключи на взломанных устройствах Firepower.
Затем для обеспечения устойчивости развертывается двоичный файл ELF для бэкдора Firestarter, что позволяет злоумышленнику восстановить доступ при необходимости.
После того как Firestarter внедряется в устройства, он сохраняет свою устойчивость даже после перезагрузки, обновления прошивки и установки патчей безопасности. Более того, бэкдор автоматически запускается заново в случае его завершения.
Устойчивость достигается за счет подключения к LINA — основному процессу Cisco ASA — и использования обработчиков сигналов, которые запускают процедуры повторной установки.
В совместном отчете по анализу вредоносного ПО, подготовленном двумя агентствами по кибербезопасности, объясняется, что Firestarter изменяет файл загрузки/монтирования CSP_MOUNT_LIST, чтобы обеспечить запуск при запуске системы, сохраняет свою копию в /opt/cisco/platform/logs/var/log/svc_samcore.log и восстанавливает ее в /usr/bin/lina_cs, где она работает в фоновом режиме.
Cisco Talos также опубликовала свой анализ вредоносного ПО, заявив, что механизм сохранения запускается при получении сигнала о завершении процесса, также известного как плавная перезагрузка.
Исследователи отметили в отчете по Firestarter, что бэкдор использовал приведенные ниже команды для обеспечения собственной устойчивости:
- 1.png (113.19 КБ) 36 просмотров
Механизм сохранения
Основная функция имплантата заключается в том, чтобы служить бэкдором для удаленного доступа, при этом он также может выполнять шелл-код, предоставленный злоумышленником.
Это осуществляется с помощью механизма, при котором Firestarter подключается к LINA путем модификации обработчика XML и внедрения шелл-кода в память, создавая контролируемый путь выполнения.
Этот шелл-код запускается специально сформированным запросом WebVPN, который после проверки жестко запрограммированного идентификатора загружает и выполняет предоставленные злоумышленником полезные нагрузки непосредственно в памяти.
Однако CISA не предоставила никаких подробностей о конкретных полезных нагрузках, наблюдаемых в ходе атак.
Cisco опубликовала рекомендацию по безопасности, касающуюся Firestarter, которая содержит меры по снижению рисков и обходные пути для удаления механизма персистентности, а также индикаторы компрометации для обнаружения имплантата Firestarter.
Поставщик “настоятельно рекомендует переустановить и обновить устройство с использованием исправленных версий,” что относится как к скомпрометированным, так и к нескомпрометированным устройствам.
Чтобы определить факт компрометации, администраторам следует выполнить команду ‘show kernel process | include lina_cs.’ При любом полученном результате устройство следует считать скомпрометированным.
Если переустановка образа устройства в данный момент невозможна, Cisco сообщает, что холодный перезапуск (отключение питания устройства) удаляет вредоносное ПО. Однако этот вариант не рекомендуется, так как он сопряжен с риском повреждения базы данных или диска, что может привести к проблемам с загрузкой.
CISA также предоставила два правила YARA, которые позволяют обнаружить бэкдор Firestarter при применении к образу диска или дампу ядра с устройства.