كشفت سلطات الأمن السيبراني الأمريكية والبريطانية يوم الخميس عن زرع مجموعة قرصنة ترعاها دولة لما يُعرف بـ “باب خلفي” مخصص في أجهزة شبكات سيسكو، قادر على البقاء حتى بعد تحديثات البرامج الثابتة وإعادة التشغيل القياسية. يمثل هذا تطوراً خطيراً في حملة استهدفت شبكات حكومية وبنية تحتية حيوية منذ أواخر عام 2025 على الأقل.
أصدرت وكالة الأمن السيبراني وأمن البنية التحتية (CISA) والمركز الوطني البريطاني لأمن السايبر (NCSC) تقريراً مشتركاً لتحليل البرمجيات الخبيثة، أطلق على الباب الخلفي اسم “Firestarter”. من جانبها، نسب قسم استخبارات التهديدات في سيسكو، المعروف باسم Talos، البرمجية الخبيثة إلى جهة تهديد تتعقبها بالرمز UAT-4356، وهي نفس المجموعة التي نسبت إليها سيسكو حملة تجسس سابقة أُطلق عليها اسم ArcaneDoor وركزت على اختراق أجهزة محيط الشبكة.
باب خلفي يتجاوز التحديثات الأمنية
أكدت CISA اكتشافها لبرمجية Firestarter على جهاز Firepower خاص بوكالة فيدرالية مدنية أمريكية، وذلك بعد تحديد اتصالات مشبوهة عبر المراقبة المستمرة للشبكة. أدى هذا الاكتشاف إلى إصدار توجيه طارئ محدث يوم الخميس، يلزم جميع الوكالات الفيدرالية المدنية بتدقيق بنيتها التحتية لجدران الحماية من سيسكو وتقديم لقطات لذاكرة الأجهزة لتحليلها بحلول يوم الجمعة.
القلق الرئيسي الذي دفع إلى إصدار التوجيه المحدث يتمثل في قدرة مجموعة الهجوم على الثبات على الأجهزة المخترقة، حتى بعد تطبيق الشركات الأمنية للتحديثات التي أصدرتها سيسكو في سبتمبر 2025. عالجت هذه التحديثات ثغرتين أمنيتين؛ الأولى هي CVE-2025-20333، وهي ثغرة تنفيذ تعليمات برمجية عن بعد في مكون خادم الويب VPN، والثانية هي CVE-2025-20362، وهي ثغرة وصول غير مصرح به. استغلت UAT-4356 هاتين الثغرتين للدخول الأولي. ووفقاً لـ CISA، قد تظل الأجهزة التي تم اختراقها قبل تطبيق التصحيحات تحمل هذه البرمجية الخبيثة.
تسمح برمجية Firestarter للمهاجمين بتحقيق الثبات عن طريق التلاعب بقائمة تحميل منصة خدمة سيسكو (Cisco Service Platform mount list)، وهي ملف تهيئة يحكم البرامج التي يتم تنفيذها أثناء تسلسل بدء تشغيل الجهاز. عند تلقي الجهاز إشارة إنهاء أو دخوله في عملية إعادة تشغيل، تقوم البرمجية الخبيثة بنسخ نفسها إلى موقع ثانوي وإعادة كتابة قائمة التحميل لاستعادة وإعادة إطلاق نفسها بعد عودة النظام عبر الإنترنت.
والأهم من ذلك، أن إعادة التشغيل القياسية للبرنامج لا تزيل هذه البرمجية الخبيثة. فقط إعادة التشغيل القوية – بفصل الجهاز مادياً عن مصدر الطاقة – تكون كافية لمسح آلية الثبات من الذاكرة، وفقاً لـ CISA وسيسكو على حد سواء.
من هناك، تقوم البرمجية الخبيثة بحقن شل كود خبيث في LINA، وهو جوهر شبكات وجدران الحماية في برامج Cisco Adaptive Security Appliance و Firepower Threat Defense. بمجرد تضمينها، تقوم البرمجية الخبيثة باعتراض نوع معين من طلبات الشبكة المستخدمة عادةً لمصادقة VPN. وعندما يصل طلب يحتوي على تسلسل تشغيل مخفي، فإنه ينفذ تعليمة برمجية مقدمة من المهاجمين، مما يمنحهم وصولاً خلفياً إلى الجهاز.
ارتباطات بحملة مستمرة
لاحظ فريق Talos في سيسكو أن برمجية Firestarter تشترك في أوجه تشابه تقنية كبيرة مع برمجية خبيثة سابقة تعرف باسم RayInitiator، مما يشير إلى أن الأدوات تشترك في أصل مشترك أو تاريخ تطوير داخل ترسانة UAT-4356.
في الحادث الذي تعرضت له الوكالة الفيدرالية والذي حللته CISA، قامت الجهات الفاعلة أولاً بنشر برمجية منفصلة، تسمى Line Viper، للوصول إلى تكوينات الجهاز وبيانات الاعتماد ومفاتيح التشفير. تم تثبيت Firestarter بعد ذلك بوقت قصير، وقبل تطبيق تحديثات سيسكو في سبتمبر 2025 على تلك الأجهزة المحددة. عندما قامت الوكالة بتحديث أنظمتها، بقيت Firestarter على الأجهزة، واستخدمها المهاجمون لإعادة نشر Line Viper في مارس، بعد ما يقرب من ستة أشهر من الاختراق الأولي.
لم تُسند سيسكو و CISA هجمات التجسس إلى دولة قومية معينة. ومع ذلك، قال باحثون في Censys سابقاً إنهم وجدوا أدلة قوية تشير إلى أن مجموعة تهديد مقرها في الصين كانت وراء حملة ArcaneDoor. لاحظت Censys أنها وجدت أدلة على شبكات صينية رئيسية متعددة وبرامج لمكافحة الرقابة طورها الصينيون خلال تحقيقها في هجمات أوائل عام 2024.
تؤثر ثغرة الثبات هذه على مجموعة واسعة من أجهزة سيسكو، بما في ذلك سلسلة Firepower 1000 و 2100 و 4100 و 9300، بالإضافة إلى سلسلة Secure Firewall 1200 و 3100 و 4200. وقد أصدرت سيسكو برامج محدثة لمعالجة آلية الثبات، على الرغم من أن الشركة توصي بشدة بإعادة بناء (reimage) الأجهزة المتأثرة بدلاً من الاعتماد فقط على تحديثات البرامج في حالة الاشتباه في حدوث اختراق.
يعكس هذا الحادث نمطاً متزايداً بين قراصنة الشبكات المرتبطين بالدول: استهداف أجهزة الشبكة الطرفية التي تعتمد عليها المؤسسات لفرض حدود الأمان. ونظراً لأن هذه الأجهزة تقع على محيط شبكات الشركات والحكومات، فإن اختراقها يمكن أن يكشف حركة المرور الداخلية ويمنح المهاجمين موضعاً لاعتراض بيانات الاعتماد والاتصالات.
أقرت CISA بأن هناك استغلالاً نشطاً للثغرات الأساسية كان مستمراً في وقت نشر هذا الخبر. وقال متحدث باسم سيسكو لموقع CyberScoop إن العملاء الذين يحتاجون إلى المساعدة يجب عليهم الاتصال بالدعم الفني لسيسكو. ولم ترد CISA على طلب للتعليق.