Hacker durchbrechen die Firewalls der US-Regierung, während die Cyberspionage von ArcaneDoor zunimmt

Hacker haben nach Angaben von Beamten Schwachstellen in den Firewall-Geräten von Cisco Systems ausgenutzt, die in US-Bundesbehörden verwendet werden.

Die Cybersecurity and Infrastructure Security Agency (CISA) hat am Donnerstag eine Notfallrichtlinie erlassen, in der sie zivile Behörden anweist, Verstöße zu identifizieren und zu mindern.

Die Fehler wurden genutzt, um bösartigen Code einzuschleusen und Befehle auszuführen, was Befürchtungen vor gestohlenen Daten aufkommen ließ. Cisco bestätigte, dass es seit Mai 2025 Angriffe untersucht, nachdem mehrere Regierungsbehörden Vorfälle gemeldet hatten.

Auch das britische National Cyber Security Centre (NCSC) schlug Alarm und warnte, dass sich die Bedrohung über die Grenzen der USA hinaus ausbreitet und kritische Infrastrukturen beeinträchtigen könnte.

Die CISA unternimmt, um die Verstöße einzudämmen

Die CISA handelte schnell, nachdem sie bestätigt hatte, dass die Eindringlinge die Netzwerke des Bundes erreicht hatten.

Chris Butera, stellvertretender stellvertretender Direktor der Cybersicherheitsabteilung der CISA, sagte, die Bedrohung sei "weit verbreitet" und betonte, dass auch private Unternehmen und andere Regierungsstellen handeln sollten.

Obwohl die Richtlinie nur für zivile Behörden gilt, deutet das Ausmaß des Vorfalls auf ein breiteres Risiko für kritische Infrastrukturen in den USA hin.

Bloomberg berichtet, dass die genauen Opfer nicht bekannt gegeben wurden, aber die Untersuchung der CISA bestätigte, dass kompromittierte Geräte in Regierungssystemen aktiv waren.

Cisco enthüllt die ArcaneDoor-Hacker

Cisco identifizierte die Hacker als ArcaneDoor, eine Gruppe, die seit 2024 Cyberspionage-Kampagnen durchführt. Das Unternehmen sagte, es sei im Mai 2025 erstmals von Regierungsbehörden beauftragt worden, Firewall-Angriffe zu untersuchen.

Cisco gab eine Sicherheitswarnung heraus, in der beschrieben wurde, dass die Angreifer Fehler in seinen Geräten ausgenutzt hatten, um Code einzuschleusen, Befehle auszuführen und möglicherweise sensible Daten zu stehlen.

Die Schwachstellen ermöglichten es Hackern, die Abwehrmaßnahmen zu umgehen, was Bundessysteme zu einem Hauptziel machte. Die Ergebnisse von Cisco zeigten, dass ArcaneDoor in den letzten Monaten seinen Fokus von der globalen Spionage auf US-Unternehmen verlagert hatte.

Internationale Warnungen und wachsende Risiken

Das britische NCSC schloss sich den Warnungen der CISA an und wies darauf hin, dass die Schwachstellen genutzt werden könnten, um bösartigen Code in Netzwerken einzuschleusen.

In der Empfehlung wurde betont, dass die Angriffe nicht auf US-Behörden beschränkt seien, was Bedenken hinsichtlich der Risiken für internationale Partner aufkommen lasse. Das Cybersicherheitsunternehmen Palo Alto Networks bestätigte ebenfalls, dass es ArcaneDoor seit letztem Jahr verfolgt.

Sam Rubin, Senior Vice President im Team von Unit 42 in Palo Alto, sagte, die Gruppe habe ihre Methoden im Laufe der Zeit geändert und ihre Kampagnen in Richtung USA ausgeweitet.

Rubin fügte hinzu, dass cyberkriminelle Gruppen nach der Aufdeckung dieser Spionagetaktiken wahrscheinlich die gleichen Fehler ausnutzen würden.

Föderale Infrastruktur und Privatsektor in Alarmbereitschaft

In der Erklärung der CISA wurde bestätigt, dass die Verstöße kritische Infrastrukturen in den USA betreffen könnten, obwohl keine weiteren Details genannt wurden.

Bundesbeamte forderten private Unternehmen auf, die gleichen Schutzmaßnahmen zu ergreifen, und wiesen auf die mögliche Ausbreitung der Kampagne über die Regierungssysteme hinaus hin.

Die ArcaneDoor-Operation wird als signifikante Eskalation angesehen, da sie in der Lage ist, Malware zu implantieren, Daten zu exfiltrieren und wichtige Netzwerke zu stören.

Die Warnungen unterstreichen, dass Schwachstellen in weit verbreiteten Geräten wie Cisco-Firewalls systemische Risiken schaffen, so dass Cybersicherheitsmaßnahmen sowohl im staatlichen als auch im privaten Sektor dringend erforderlich sind.