CISA phát hiện backdoor Firestarter tấn công thiết bị Cisco tại cơ quan liên bang Mỹ
CISA và đối tác Anh đã phát hiện một phần mềm độc hại backdoor mới có tên Firestarter nhắm vào thiết bị tường lửa của Cisco tại một cơ quan chính phủ Mỹ. Malware này có khả năng truy cập từ xa và duy trì sự tồn tại dai dẳng ngay cả sau khi thiết bị được cập nhật. Cả Mỹ và Anh đều đang trong tình trạng cảnh giác cao độ trước nguy cơ tấn công rộng hơn vào cơ sở hạ tầng quan trọng.
Cơ quan An ninh mạng và An ninh cơ sở hạ tầng Mỹ (CISA) cùng các đối tác tại Anh vừa đưa ra cảnh báo khẩn cấp sau khi phát hiện một phần mềm độc hại backdoor chưa từng được biết đến trước đây đã tấn công thành công vào mạng lưới của một cơ quan liên bang Mỹ.
Phần mềm độc hại này, được đặt tên là Firestarter, được thiết kế đặc biệt để nhắm vào các thiết bị tường lửa của Cisco, cụ thể là Cisco Secure Firewall Adaptive Security Appliance (ASA) và Cisco Secure Firewall Threat Defense (FTD). Mặc dù danh tính cụ thể của cơ quan bị tấn công chưa được tiết lộ, nhưng sự việc này đã gây ra lo ngại lớn về an ninh mạng trong các cơ quan chính phủ và cơ sở hạ tầng quan trọng.
Mối đe dọa dai dẳng
Điểm đáng lo ngại nhất của Firestarter là khả năng duy trì quyền truy cập liên tục (persistent access). Theo khuyến cáo từ CISA, malware này có khả năng tồn tại trên các thiết bị mạng đã bị xâm nhập ngay cả sau khi thiết bị đó được cập nhật phần mềm hoặc vá lỗi. Điều này cho phép tin tặc có thể tái xâm nhập vào mạng của nạn nhân mà không cần khai thác các lỗ hổng mới.
Hiện tại, CISA xác nhận có một cơ quan thuộc Nhánh Hành pháp Liên bang (FCEB) bị ảnh hưởng. Tuy nhiên, cơ quan này nghi ngờ rằng đây có thể là một phần của chiến dịch tấn công rộng lớn hơn nhắm vào các mạng lưới của chính phủ và cơ sở hạ tầng quốc gia trọng yếu.
Khuyến cáo và biện pháp phòng thủ
Mặc dù mục tiêu chính dường như là các cơ quan chính phủ, CISA và Trung tâm An ninh mạng Quốc gia Anh (NCSC) khuyến cáo tất cả các tổ chức tại Mỹ và Anh nên thực hiện các biện pháp phòng ngừa ngay lập tức.
Malware này được phát hiện thông qua quá trình giám sát mạng thường xuyên. Để phát hiện và xử lý, các chuyên gia an ninh khuyên dùng:
- Quy tắc YARA trong quá trình phân tích bộ nhớ.
- Kiểm tra các file dump bộ nhớ (core dumps) hoặc hình ảnh đĩa (disk images) của thiết bị.
Cả CISA và NCSC đều yêu cầu các tổ chức nếu phát hiện dấu hiệu bị tấn công cần thu thập toàn bộ bằng chứng và gửi cho họ để phục vụ mục đích tình báo và điều tra.
Bối cảnh an ninh mạng
Thông tin về việc bị xâm phạm được đưa ra chỉ vài giờ sau khi các cơ quan tình báo collectively đưa ra cảnh báo thứ hai trong tháng này về các hoạt động mạng tấn công của Trung Quốc. Mười quốc gia, bao gồm các thành viên trong liên minh Five Eyes, đã tham gia vào cảnh báo này, khẳng định rằng Trung Quốc đang xây dựng các mạng lưới bí mật, bao gồm cả việc tuyển dụng các bộ định tuyến SOHO cấp người dùng, để phát động các cuộc tấn công mạng vào đối thủ.
Cisco đã gán nhóm tấn công đứng sau Firestarter mã định danh là UAT-4356. Mặc dù công ty này từ chối quy trách nhiệm trực tiếp cho bất kỳ quốc gia cụ thể nào trong số các đối thủ địa chính trị chính của Mỹ, nhưng họ nhận định rằng nhóm này dường như có sự bảo trợ từ chính phủ.
Cuộc điều tra này là sự cập nhật cho các khuyến cáo trước đó của CISA về các cuộc tấn công vào sản phẩm của Cisco, khai thác các lỗ hổng bảo mật như CVE-2025-20333 (điểm số CVSS 9.9) và CVE-2025-20362 (điểm số CVSS 6.5).
