Operacija ArcaneDoor: Kako je „FIRESTARTER“ kompromitovao federalne mreže SAD-a i zašto klasičan „patch“ nije dovoljan

U svetu sajber špijunaže, retki su trenuci kada državne agencije izdaju hitna upozorenja koja zahtevaju fizičku intervenciju na hardveru. Upravo to se dogodilo u aprilu 2026. godine, kada su Agencija za sajber-bezbednost i infrastrukturnu bezbednost SAD (CISA) i FBI potvrdili da je neimenovana federalna agencija postala žrtva sofisticiranog napada na Cisco firewall uređaje.

Napad, koji je deo šire kampanje poznate pod nazivom ArcaneDoor, otkrio je zastrašujuću istinu: moderni zlonamerni softver može postati toliko duboko ukorenjen u mrežnu infrastrukturu da ga klasični softverski apdejti i virtuelni rebooti ne mogu ukloniti. Glavni akter ove drame je backdoor pod imenom FIRESTARTER.

Hronologija upada i akter UAT-4356

Istraga je pokazala da je kompromitacija federalne agencije započela mnogo pre nego što je detektovana. Napadači, identifikovani pod kodnim imenom UAT-4356 (povezani sa grupom Storm-1849), veruje se da uživaju podršku državnih struktura, najverovatnije iz Kine.

Prvi tragovi aktivnosti datiraju još iz septembra 2025. godine. Napadači su iskoristili „Zero-Day“ ranjivosti (propuste za koje proizvođač u tom trenutku nije znao) na Cisco Firepower uređajima koji pokreću Adaptive Security Appliance (ASA) softver. Fokus kampanje bio je isključivo na špijunaži – prikupljanju osetljivih podataka, presretanju mrežnog saobraćaja i održavanju dugotrajnog prisustva unutar vladinih mreža.

Anatomija napada: Od LINE VIPER-a do FIRESTARTER-a

Napad se odvijao u nekoliko faza, koristeći specifično dizajnirane alate za Cisco arhitekturu:

Inicijalna eksploatacija: Napadači su iskoristili ranjivosti CVE-2025-20333 i CVE-2025-20362. Ove ranjivosti su im omogućile daljinsko izvršavanje koda (RCE) sa najvišim nivoom privilegija (root) i pristup skrivenim URL endpiontima bez autentifikacije.

LINE VIPER: Ovo je bio prvi „payload“. Njegova uloga bila je da omogući napadačima kretanje kroz fajl sistem firewalla, eksfiltraciju konfiguracionih fajlova i pripremu terena za instalaciju trajnog rešenja.

FIRESTARTER: Kruna napada. FIRESTARTER nije običan virus; to je visokosofisticirani backdoor koji se „kači“ na Lina proces (srce Cisco ASA softvera koji obrađuje mrežni saobraćaj). Modifikovanjem ovog procesa, napadači su dobili mogućnost da u realnom vremenu presreću pakete, menjaju pravila firewall-a i izvršavaju proizvoljne komande bez ikakvog traga u standardnim logovima.

Problem perzistencije: Zašto patch ne pomaže?

Ono što FIRESTARTER čini posebnim i opasnim jeste njegova sposobnost da preživi sve standardne metode čišćenja sistema.

Uobičajeni bezbednosni protokol nalaže da se, nakon otkrivanja ranjivosti, instalira najnovija verzija softvera (patch) i restartuje uređaj. Međutim, kod FIRESTARTER-a to nije radilo. Malware modifikuje listu servisa koji se podižu prilikom paljenja uređaja (Cisco Service Platform mount list).

Čak i kada administrator instalira novu verziju ASA softvera, maliciozna skripta ostaje u skrivenom delu memorije. Prilikom softverskog restarta (preko komandne linije), uređaj ne prolazi kroz potpuni ciklus pražnjenja memorije, što omogućava malware-u da se ponovo učita pre nego što novi, „zakrpljeni“ sistem uopšte počne da radi. Štaviše, FIRESTARTER ima mehanizam koji privremeno briše tragove svoje modifikacije tokom boot procesa, a zatim ih vraća kada je sistem podignut, čineći ga nevidljivim za rutinske provere integriteta.

Direktiva CISA-e: Fizička sila protiv digitalnog neprijatelja

Zbog ozbiljnosti situacije, CISA je izdala Hitnu direktivu 25-03, koja propisuje radikalne mere za sve pogođene federalne agencije:

Hard Power Cycle: Softverski restart nije dovoljan. Direktiva zahteva fizičko isključivanje uređaja iz struje (izvlačenje kabla) na minimalno 60 sekundi. Ovo je neophodno kako bi se ispraznili svi kondenzatori i volatilna memorija u kojoj bi se ostaci koda mogli zadržati.

Kompletno re-imidžovanje (Full Reimage): Umesto jednostavnog ažuriranja, preporučuje se potpuno brisanje celokupnog operativnog sistema i ponovna instalacija iz proverenog izvora.

Forenzički dokazi: Pre bilo kakve akcije, agencije su dužne da snime stanje memorije (core dumps) i pošalju ih CISA-i na analizu, kako bi se utvrdilo koliko je duboko malware prodro.

Lekcije za budućnost

Slučaj FIRESTARTER-a je prekretnica u mrežnoj bezbednosti. On pokazuje da se granica između softverskog i hardverskog napada briše. Edge uređaji poput firewall-ova, koji bi trebalo da budu prva linija odbrane, postali su najpoželjnije mete jer imaju ogroman nivo privilegija i često se smatraju „crnim kutijama“ u koje administratori retko zaviruju dublje od samog interfejsa.

Za organizacije širom sveta, ovo je alarm da se strategija odbrane mora promeniti. Poverenje u softverske zakrpe više nije apsolutno. Verifikacija integriteta hardvera, praćenje neuobičajenih odlaznih veza sa samih infrastrukturnih uređaja i striktna kontrola privilegovanih naloga postaju imperativ u eri u kojoj napadači bukvalno „žive“ u vašem mrežnom hardveru.

Evo ključnih tehničkih podataka, indikatora kompromitacije (IoC) i spiska pogođenih verzija softvera na osnovu najnovijih izveštaja CISA-e i kompanije Cisco.

1. Pogođene verzije i uređaji

Napad cilja uređaje koji pokreću Cisco ASA (Adaptive Security Appliance) i FTD (Firepower Threat Defense) softver. 

Pogođene serije hardvera:

Firepower: Serije 1000, 2100, 4100 i 9300.

Secure Firewall: Modeli 200, 1200, 3100, 4200 i 6100.

Stariji modeli (EoS): ASA 5512-X, 5515-X, 5525-X, 5545-X, 5555-X i 5585-X. 

Kritične ranjivosti:

CVE-2025-20333 (CVSS 9.9): Remote Code Execution (RCE) preko VPN web servera.

CVE-2025-20362: Zaobilaženje autentifikacije za pristup zaštićenim URL endpointima. 

2. Verzije softvera sa ispravkama (Fixed Releases)

Da biste bili sigurni, morate preći na sledeće (ili novije) verzije, ali samo nakon hardverskog reseta ako sumnjate na infekciju: 

Napomena: Za FTD softver, ispravke su uključene u verzije 7.0.x, 7.2.x, 7.4.x i 7.6.x. 

3. Indikatori kompromitacije (IoC)

Ako primetite sledeće tragove, vaš uređaj je verovatno kompromitovan:

Sumnjivi procesi: Prisustvo neočekivanih fajlova u direktorijumu /mnt/disk0/ ili modifikacije u Cisco Service Platform (CSP) mount listi.

Mrežni saobraćaj: Neobični HTTPS (WebVPN) zahtevi koji sadrže “magic packet” (specifično formatirane XML payloade) namenjene Lina procesu.

Ponašanje sistema: Onemogućeno logovanje (logging) ili sprečavanje kreiranja “crash dump” fajlova, što napadači koriste da sakriju tragove.

Nalozi: Aktivnost na starim, neaktivnim administratorskim nalozima koji su iznenada postali aktivni. 

4. Forenzički koraci (CISA preporuka)

CISA savetuje administratorima da ne brišu odmah sve podatke, već da urade sledeće: 

Napravite Core Dump: Snimite stanje memorije uređaja pre gašenja.

YARA pravila: Skenirajte disk imidž ili core dump pomoću zvaničnih CISA FIRESTARTER YARA pravila.

Fizički reset: Isključite napajanje na najmanje 60 sekundi da biste očistili perzistentni shellcode iz memorije. 

Važno: Rok za federalne agencije da potvrde status svojih uređaja bio je 24. april 2026., dok je krajnji rok za hardverski reset pogođenih sistema 30. april 2026.g