بدافزار Firestarter تجهیزات امنیتی سیسکو را به در پشتی پایدار تبدیل می‌کند

کمیته رکن چهارم – نهادهای امنیت سایبری آمریکا و بریتانیا نسبت به یک بدافزار پیشرفته به نام Firestarter هشدار داده‌اند که تجهیزات Cisco Firepower و Secure Firewall را هدف قرار داده و امکان دسترسی پایدار برای مهاجمان فراهم می‌کند. این بدافزار حتی پس از ریبوت یا به‌روزرسانی سیستم نیز در دستگاه باقی می‌ماند.

به گزارش کمیته رکن چهارم، بدافزار Firestarter به یک عامل تهدید با نام UAT-4356 نسبت داده شده که پیش‌تر نیز در عملیات‌های جاسوسی سایبری فعالیت داشته است. مهاجمان برای نفوذ اولیه از دو آسیب‌پذیری امنیتی شامل CVE-2025-20333 و CVE-2025-20362 استفاده کرده‌اند که به آن‌ها اجازه دسترسی بدون احراز هویت و اجرای کد مخرب را داده است.

در مرحله نخست حمله، بدافزاری با نام Line Viper روی دستگاه نصب شده که امکان ایجاد نشست‌های VPN و استخراج اطلاعات حساسی مانند تنظیمات سیستم، اعتبارنامه‌های مدیریتی و کلیدهای رمزنگاری را فراهم می‌کند. پس از آن، بکدور Firestarter برای ایجاد دسترسی پایدار در سیستم مستقر می‌شود.

این بدافزار با استفاده از تکنیک‌های پیشرفته، به فرآیند اصلی سیستم‌عامل ASA با نام LINA متصل شده و از طریق تغییر فایل‌های سیستمی و استفاده از مکانیزم‌های خودکار، حتی پس از حذف یا ری‌استارت نیز دوباره فعال می‌شود. یک منبع مطلع از این موضوع به کمیته رکن چهارم گفت: «ویژگی ماندگاری این بدافزار باعث می‌شود که شناسایی و پاکسازی آن به‌مراتب دشوارتر از بدافزارهای معمولی باشد.»

Firestarter همچنین قابلیت اجرای کد مخرب به‌صورت مستقیم در حافظه را دارد و از طریق درخواست‌های دستکاری‌شده WebVPN، دستورات مهاجم را بدون نیاز به ذخیره فایل روی سیستم اجرا می‌کند. این ویژگی باعث می‌شود بسیاری از ابزارهای امنیتی قادر به شناسایی آن نباشند.

پیشینه

در سال‌های اخیر، تجهیزات شبکه و امنیتی مانند فایروال‌ها به یکی از اهداف اصلی مهاجمان تبدیل شده‌اند، زیرا دسترسی به این دستگاه‌ها می‌تواند امکان نظارت، کنترل و نفوذ به کل شبکه را فراهم کند. در برخی حملات گذشته نیز مشاهده شده که مهاجمان از آسیب‌پذیری‌های مشابه برای ایجاد دسترسی پایدار در زیرساخت‌های حیاتی استفاده کرده‌اند.

جمع‌بندی

بدافزار Firestarter نمونه‌ای از تهدیدات پیشرفته‌ای است که مستقیماً تجهیزات امنیتی را هدف قرار می‌دهد و آن‌ها را به نقطه نفوذ تبدیل می‌کند. با توجه به توانایی این بدافزار در ماندگاری طولانی‌مدت، اقداماتی مانند بازنصب کامل سیستم و به‌روزرسانی فوری از جمله مهم‌ترین راهکارهای مقابله با این تهدید محسوب می‌شوند.

منبع: BleepingComputer