Hackere bryder igennem amerikanske føderale firewalls, mens ArcaneDoor cyberspionage udvides

Hackere har udnyttet sårbarheder i Cisco Systems' firewall-enheder, der bruges på tværs af amerikanske føderale agenturer, ifølge embedsmænd.

Cybersecurity and Infrastructure Security Agency (CISA) udstedte torsdag et nøddirektiv, der beordrede civile agenturer til at identificere og afbøde brud.

Fejlene blev brugt til at implantere ondsindet kode og udføre kommandoer, hvilket skabte frygt for stjålne data. Cisco bekræftede, at det havde undersøgt angreb siden maj 2025, efter at flere offentlige myndigheder rapporterede om hændelser.

Storbritanniens National Cyber Security Centre (NCSC) slog også alarm og advarede om, at truslen strakte sig ud over USA's grænser og kunne påvirke kritisk infrastruktur.

CISA tager skridt til at inddæmme bruddet

CISA handlede hurtigt efter at have bekræftet, at indtrængen var nået til føderale netværk.

Chris Butera, fungerende vicedirektør for CISA's cybersikkerhedsafdeling, sagde, at truslen var "udbredt" og understregede, at private virksomheder og andre statslige organer også bør handle.

Selvom direktivet kun gælder for civile agenturer, antydede omfanget af hændelsen en bredere risiko for kritisk infrastruktur i USA.

Bloomberg rapporterer, at specifikke ofre ikke blev afsløret, men CISA's undersøgelse bekræftede, at kompromitterede enheder var aktive i regeringssystemer.

Cisco afslører ArcaneDoor-hackerne

Cisco identificerede hackerne som ArcaneDoor, en gruppe, der har kørt cyberspionagekampagner siden 2024. Virksomheden sagde, at den først blev engageret af offentlige myndigheder i maj 2025 for at undersøge firewall-angreb.

Cisco udsendte en sikkerhedsadvarsel, der beskrev, at angriberne havde udnyttet fejl i deres enheder til at implantere kode, køre kommandoer og potentielt stjæle følsomme data.

Sårbarhederne gjorde det muligt for hackere at omgå forsvaret, hvilket gjorde føderale systemer til et primært mål. Ciscos resultater viste, at ArcaneDoor havde flyttet sit fokus fra global spionage til amerikanske enheder i de seneste måneder.

Internationale alarmer og voksende risici

Storbritanniens NCSC gentog CISA's advarsler og bemærkede, at sårbarhederne kunne bruges til at implantere ondsindet kode på tværs af netværk.

Dens rådgivning understregede, at angrebene ikke var begrænset til amerikanske agenturer, hvilket gav anledning til bekymring for risici for internationale partnere. Cybersikkerhedsfirmaet Palo Alto Networks bekræftede også, at det havde sporet ArcaneDoor siden sidste år.

Sam Rubin, senior vicepræsident for Palo Altos Unit 42-team, sagde, at gruppen havde ændret sine metoder over tid og eskaleret sine kampagner, da de vendte sig mod USA.

Rubin tilføjede, at cyberkriminelle grupper sandsynligvis ville udnytte de samme fejl efter afsløringen af disse spionagetaktikker.

Føderal infrastruktur og den private sektor i alarmberedskab

CISA's erklæring bekræftede, at bruddene kunne påvirke kritisk infrastruktur i USA, selvom der ikke blev givet yderligere detaljer.

Føderale embedsmænd opfordrede private virksomheder til at tage de samme beskyttelsesforanstaltninger og fremhævede den potentielle spredning af kampagnen ud over regeringssystemer.

ArcaneDoor-operationen ses som en betydelig eskalering med evnen til at implantere malware, eksfiltrere data og forstyrre vigtige netværk.

Advarslerne understreger, hvordan sårbarheder i udbredte enheder som Cisco-firewalls skaber systemiske risici, hvilket gør cybersikkerhedsreaktioner presserende på tværs af både offentlige og private sektorer.