CISA サイバーセキュリティ専門家とその英国の同僚によると、米国の連邦機関は Firestarter と呼ばれるこれまで未知のバックドアマルウェアの攻撃を受けていました。どちらの機関も攻撃を受けた機関の名前は明かしていません。
連邦民間行政機関 (FCEB) には、NASA、国土安全保障省(CISA のサイバーセキュリティ専門家は国土安全保障省の運用部隊の一部)、FBI、司法省、国税庁、退役軍人省、厚生労働省 (HHS) などが含まれます。
Firestarter はリモートアクセス機能を備えたバックドアとして説明されており、マルウェアが標的とした 2 つの製品である Cisco Secure Firewall Adaptive Security Appliance (ASA) と Cisco Secure Firewall Threat Defense (FTD) にちなんで名付けられました。
CISA のアドバイザリーによると、1 つの FCEB 機関のみがこのマルウェアで攻撃されたとされていますが、政府および重要な国家インフラネットワークを標的とした広範なキャンペーンの一部と疑われています。
さらに、CISA が調査した唯一のインシデントは ASA ソフトウェアを実行している Cisco Firepower デバイスに関与していますが、Secure Firewall デバイスも攻撃の影響を受ける可能性があると考えられています。
政府および重要な国家インフラに焦点が当たっているにもかかわらず、米国および英国のすべての組織は予防措置を講じることをお勧めします。
CISA によると、Firestarter は特に高度で、更新後もネットワークデバイスへの永続的なアクセスを維持し、攻撃者が新しい脆弱性を悪用する必要なく被害者のネットワークに再度侵入できるようにしていました。
マルウェアはルーチン的な継続的なネットワーク監視の後に検出されました。すべての組織は、デバイスコアダンプまたはディスクイメージからのメモリ分析を実行する際に YARA ルールを使用することをお勧めします。
CISA とその英国の同僚である国立サイバーセキュリティセンター (NCSC) は、攻撃を受けた組織がすべての証拠を照合し、情報収集目的のために提出することを望んでいます。
今週の調査結果は CISA の以前のアドバイザリーへの更新であり、CVE-2025-20333 (9.9) と CVE-2025-20362 (6.5) を悪用した Cisco 製品への他の攻撃について警告しています。
同様に、Cisco は最新の攻撃を、昨年の他の攻撃の背後にあると疑っている同じグループに帰属させています。
Switchzilla は UAT-4356 識別子を持つグループを追跡していますが、米国の 4 つの主要な地政学的対立国 (中国、ロシア、イラン、北朝鮮) を含む国家に帰属することを一貫して拒否していますが、グループは政府が支援しているように見えると述べています。
連邦機関が侵害されたというニュースは、情報機関が中国の攻撃的サイバー作戦について今月 2 番目の警告を集合的に発表してからわずか数時間後に出ました。
Five Eyes アライアンスに含まれる国を含む 10 か国が、最近数週間で同じ種類の 2 番目の警告に関与し、中国がコンシューマーグレードの SOHO ルーターの採用など、敵に対するサイバー攻撃を開始するための秘密ネットワークを構築していると再び主張しました。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/04/24/government_cni_on_high_alert/
