В сентябре 2025 года устройство Cisco Firepower в одном из федеральных гражданских ведомств США оказалось заражено бэкдором, который продолжал работать даже после установки патчей безопасности и перезагрузки системы. Это не теоретический сценарий из учебника по кибербезопасности — это задокументированный инцидент, подробности которого опубликовали CISA и Cisco.
Атака строилась в два этапа. Сначала злоумышленники воспользовались двумя уязвимостями в прошивке Cisco Adaptive Security Appliance: CVE-2025-20333 с рейтингом CVSS 9.9 и CVE-2025-20362 с рейтингом 6.5. Первая позволяла аутентифицированному удалённому атакующему с действующими VPN-учётными данными выполнять произвольный код с правами root через специально сформированные HTTP-запросы. Вторая давала возможность неаутентифицированному атакующему получать доступ к закрытым URL-эндпоинтам — тоже через HTTP-запросы. Обе уязвимости к моменту публикации уже были закрыты, но это не отменяет факта успешной эксплуатации.
После первоначального проникновения атакующие развернули инструментарий пост-эксплуатации под названием LINE VIPER. Его функциональность впечатляет: исполнение CLI-команд, перехват пакетов, обход механизмов AAA (Authentication, Authorization and Accounting) для VPN, подавление syslog-сообщений, сбор CLI-команд пользователей и принудительные отложенные перезагрузки. По сути, LINE VIPER давал атакующим полный оперативный контроль над устройством ещё до внедрения основного инструмента.
Именно через LINE VIPER на устройство попал FIRESTARTER — бинарный файл формата Linux ELF, разработанный для удалённого доступа и управления. Его главная черта — живучесть. Малварь встраивается в список монтирования при старте системы, встраиваясь в последовательность загрузки устройства, и выживает после обновлений прошивки, установки патчей и обычных перезагрузок. Для перехвата и модификации штатных операций FIRESTARTER устанавливает хук в LINA — ядро устройства, отвечающее за сетевую обработку и функции безопасности. Запуск произвольного шелл-кода происходит через разбор специально сформированных запросов WebVPN-аутентификации, содержащих «магический пакет». Схожие черты прослеживаются с ранее задокументированным буткитом RayInitiator.
Cisco рекомендует полное переобразование (reimaging) устройства с переходом на исправленные версии прошивки. Все конфигурационные элементы скомпрометированного устройства нужно считать ненадёжными. Для временного удаления импланта из оперативной памяти необходим «холодный рестарт» — жёсткий цикл отключения питания. И здесь есть принципиальный момент: стандартные CLI-команды
Угрозу отслеживают под мониторами UAT4356 и Storm-1849. Та же группа ранее стояла за кампанией ArcaneDoor, в рамках которой эксплуатировались два zero-day в оборудовании Cisco для перехвата трафика и разведки. Анализ Censys, проведённый в мае 2024 года, указал на связь активности с Китаем. Это согласуется с общей картиной: группы Volt Typhoon и Flax Typhoon, ориентированные на Китай, давно и последовательно работают с пограничной инфраструктурой.
Сергей Шикевич, руководитель группы аналитики угроз в Check Point Software, отмечает, что в 2025 году связанная с Китаем активность активно задействовала пограничную инфраструктуру, а в расследованиях Check Point 2026 года эта тенденция только усилилась. В качестве примеров он приводит кампанию Silver Dragon, направленную против правительственных структур в Европе и Юго-Восточной Азии, и Operation TrueChaos, которая задействовала легитимный канал обновления доверенного программного обеспечения для доставки малвари в государственные сети.
США, Великобритания и международные партнёры выпустили совместное предупреждение о масштабных ботнетах из скомпрометированных SOHO-роутеров (Small Office/Home Office) и IoT-устройств — камер видеонаблюдения и видеорегистраторов. Связанные с Китаем акторы используют эти устройства как транзитные и выходные узлы, нередко geografически подобранные под цель, для проведения разведки с низкими затратами и высокой степенью отрицания. Такие ботнеты постоянно обновляются и совместно используются несколькими государственными группировками одновременно, что делает статические блок-листы IP-адресов почти бесполезными.
Пограничные устройства атакуют не случайно. Они находятся за пределами стандартных инструментов защиты конечных точек и контроля идентификации, крайне редко обновляются и дают незаметную точку опоры на месяцы вперёд. Британский NCSC и американская CISA давно фиксируют эту закономерность, но разрыв между частотой обновления корпоративных серверов и частотой обновления сетевого оборудования на периметре по-прежнему огромен. Именно в этот разрыв и заходят атакующие.
Изображение носит иллюстративный характер
Атака строилась в два этапа. Сначала злоумышленники воспользовались двумя уязвимостями в прошивке Cisco Adaptive Security Appliance: CVE-2025-20333 с рейтингом CVSS 9.9 и CVE-2025-20362 с рейтингом 6.5. Первая позволяла аутентифицированному удалённому атакующему с действующими VPN-учётными данными выполнять произвольный код с правами root через специально сформированные HTTP-запросы. Вторая давала возможность неаутентифицированному атакующему получать доступ к закрытым URL-эндпоинтам — тоже через HTTP-запросы. Обе уязвимости к моменту публикации уже были закрыты, но это не отменяет факта успешной эксплуатации.
После первоначального проникновения атакующие развернули инструментарий пост-эксплуатации под названием LINE VIPER. Его функциональность впечатляет: исполнение CLI-команд, перехват пакетов, обход механизмов AAA (Authentication, Authorization and Accounting) для VPN, подавление syslog-сообщений, сбор CLI-команд пользователей и принудительные отложенные перезагрузки. По сути, LINE VIPER давал атакующим полный оперативный контроль над устройством ещё до внедрения основного инструмента.
Именно через LINE VIPER на устройство попал FIRESTARTER — бинарный файл формата Linux ELF, разработанный для удалённого доступа и управления. Его главная черта — живучесть. Малварь встраивается в список монтирования при старте системы, встраиваясь в последовательность загрузки устройства, и выживает после обновлений прошивки, установки патчей и обычных перезагрузок. Для перехвата и модификации штатных операций FIRESTARTER устанавливает хук в LINA — ядро устройства, отвечающее за сетевую обработку и функции безопасности. Запуск произвольного шелл-кода происходит через разбор специально сформированных запросов WebVPN-аутентификации, содержащих «магический пакет». Схожие черты прослеживаются с ранее задокументированным буткитом RayInitiator.
Cisco рекомендует полное переобразование (reimaging) устройства с переходом на исправленные версии прошивки. Все конфигурационные элементы скомпрометированного устройства нужно считать ненадёжными. Для временного удаления импланта из оперативной памяти необходим «холодный рестарт» — жёсткий цикл отключения питания. И здесь есть принципиальный момент: стандартные CLI-команды
shutdown, reboot и reload малварь не уберут. Физически нужно вытащить кабель питания и вставить его обратно. Это не метафора. Угрозу отслеживают под мониторами UAT4356 и Storm-1849. Та же группа ранее стояла за кампанией ArcaneDoor, в рамках которой эксплуатировались два zero-day в оборудовании Cisco для перехвата трафика и разведки. Анализ Censys, проведённый в мае 2024 года, указал на связь активности с Китаем. Это согласуется с общей картиной: группы Volt Typhoon и Flax Typhoon, ориентированные на Китай, давно и последовательно работают с пограничной инфраструктурой.
Сергей Шикевич, руководитель группы аналитики угроз в Check Point Software, отмечает, что в 2025 году связанная с Китаем активность активно задействовала пограничную инфраструктуру, а в расследованиях Check Point 2026 года эта тенденция только усилилась. В качестве примеров он приводит кампанию Silver Dragon, направленную против правительственных структур в Европе и Юго-Восточной Азии, и Operation TrueChaos, которая задействовала легитимный канал обновления доверенного программного обеспечения для доставки малвари в государственные сети.
США, Великобритания и международные партнёры выпустили совместное предупреждение о масштабных ботнетах из скомпрометированных SOHO-роутеров (Small Office/Home Office) и IoT-устройств — камер видеонаблюдения и видеорегистраторов. Связанные с Китаем акторы используют эти устройства как транзитные и выходные узлы, нередко geografически подобранные под цель, для проведения разведки с низкими затратами и высокой степенью отрицания. Такие ботнеты постоянно обновляются и совместно используются несколькими государственными группировками одновременно, что делает статические блок-листы IP-адресов почти бесполезными.
Пограничные устройства атакуют не случайно. Они находятся за пределами стандартных инструментов защиты конечных точек и контроля идентификации, крайне редко обновляются и дают незаметную точку опоры на месяцы вперёд. Британский NCSC и американская CISA давно фиксируют эту закономерность, но разрыв между частотой обновления корпоративных серверов и частотой обновления сетевого оборудования на периметре по-прежнему огромен. Именно в этот разрыв и заходят атакующие.
