美英两国网络安全机构近日发布紧急预警,称在一家美国联邦机构的网络中发现了一种名为 “Firestarter” 的新型后门恶意软件。
据 The Register 报道,美国网络安全和基础设施安全局 (CISA) 与英国国家网络安全中心 (NCSC) 发现,该恶意软件正针对思科 (Cisco) 的 ASA (Adaptive Security Appliance) 和 FTD (Threat Defense) 安全防火墙产品进行攻击。
尽管受害的联邦机构尚未公开,但此次入侵发生在联邦民用行政部门 (FCEB) 内部。该部门涵盖了包括美国国家航空航天局 (NASA)、联邦调查局 (FBI)、司法部 (DOI) 以及国税局 (IRS) 在内的多个重要机构。
Firestarter 具有极高的复杂性,能为攻击者提供远程访问权限。CISA 指出,即便在软件更新后,该恶意软件仍能保持对受损网络设备的持久访问,这意味着攻击者无需利用新漏洞即可重新进入网络。
针对性基础设施攻击
CISA 的调查确认,目前仅有一家 FCEB 机构受到攻击,但官员怀疑该恶意软件是针对政府及关键国家基础设施的大规模攻击行动的一部分。此次检测到的事件具体涉及一台运行 ASA 软件的思科 Firepower 设备。
安全研究机构 Switchzilla 已将该威胁源识别为 UAT-4356。虽然该组织表现出政府背景特征,但据该媒体报道,Switchzilla 拒绝将此次攻击归因于任何特定国家,包括中国、俄罗斯、伊朗或朝鲜。
在此之前,业界已针对利用 CVE-2025-20333 和 CVE-2025-20362 漏洞攻击思科产品的行为发出过警告。此次最新发现是对 CISA 此前关于针对思科漏洞利用建议的进一步补充。
CISA 和 NCSC 正在敦促所有机构采取预防措施。相关机构建议使用 YARA 规则,对设备的内核转储 (core dumps) 或磁盘镜像进行内存分析。
此外,两家机构也请求任何发现类似活动的组织收集所有证据,并提交给官方用于情报收集。
此次预警发布之际,正值包括“五眼联盟”在内的十个国家刚刚联合发布针对中国进攻性网络行动的警告。该警告称,中国正利用消费级 SOHO 路由器构建隐蔽网络,以此对对手发起攻击。
