Hakkerit murtautuvat Yhdysvaltain liittovaltion palomuureihin ArcaneDoorin kybervakoilun laajentuessa

Hakkerit ovat viranomaisten mukaan hyödyntäneet haavoittuvuuksia Cisco Systemsin palomuurilaitteissa, joita käytetään Yhdysvaltain liittovaltion virastoissa.

Kyberturvallisuus- ja infrastruktuuriturvallisuusvirasto (CISA) antoi torstaina hätäohjeen, jossa siviilivirastot määrättiin tunnistamaan ja lieventämään rikkomuksia.

Puutteita käytettiin haitallisen koodin istuttamiseen ja komentojen suorittamiseen, mikä herätti pelkoa varastetuista tiedoista. Cisco vahvisti, että se oli tutkinut hyökkäyksiä toukokuusta 2025 lähtien sen jälkeen, kun useat valtion virastot ilmoittivat tapauksista.

Myös Ison-Britannian kansallinen kyberturvallisuuskeskus (NCSC) hälytti, että uhka ulottuu Yhdysvaltojen rajojen ulkopuolelle ja voi vaikuttaa kriittiseen infrastruktuuriin.

CISA ryhtyy toimiin tietomurtojen hillitsemiseksi

CISA toimi nopeasti vahvistettuaan, että tunkeutumiset olivat saavuttaneet liittovaltion verkot.

CISA:n kyberturvallisuusosaston apulaisjohtaja Chris Butera sanoi, että uhka on "laajalle levinnyt" ja korosti, että myös yksityisten yritysten ja muiden valtion elinten tulisi toimia.

Vaikka direktiivi koskee vain siviilivirastoja, tapauksen laajuus viittasi laajempaan riskiin Yhdysvaltojen kriittiselle infrastruktuurille.

Bloomberg raportoi, että yksittäisiä uhreja ei paljastettu, mutta CISA:n tutkimus vahvisti, että vaarantuneet laitteet olivat aktiivisia valtion järjestelmissä.

Cisco paljastaa ArcaneDoor-hakkerit

Cisco tunnisti hakkerit ArcaneDooriksi, ryhmäksi, joka on toteuttanut kybervakoilukampanjoita vuodesta 2024 lähtien. Yhtiö sanoi, että valtion virastot ottivat sen ensimmäisen kerran yhteyttä toukokuussa 2025 tutkimaan palomuurihyökkäyksiä.

Cisco antoi tietoturvavaroituksen, jossa kerrottiin, että hyökkääjät olivat käyttäneet hyväkseen laitteidensa puutteita istuttaakseen koodia, suorittaakseen komentoja ja mahdollisesti varastaakseen arkaluonteisia tietoja.

Haavoittuvuuksien ansiosta hakkerit pystyivät ohittamaan puolustuksen, mikä teki liittovaltion järjestelmistä ensisijaisen kohteen. Ciscon havainnot osoittivat, että ArcaneDoor oli viime kuukausina siirtänyt painopisteensä globaalista vakoilusta yhdysvaltalaisiin yhteisöihin.

Kansainväliset hälytykset ja laajenevat riskit

Ison-Britannian NCSC toisti CISA:n varoitukset ja huomautti, että haavoittuvuuksia voidaan käyttää haitallisen koodin istuttamiseen verkkoihin.

Sen neuvonantaja korosti, että hyökkäykset eivät rajoittuneet Yhdysvaltain virastoihin, mikä herätti huolta kansainvälisille kumppaneille aiheutuvista riskeistä. Kyberturvallisuusyritys Palo Alto Networks vahvisti myös seuranneensa ArcaneDooria viime vuodesta lähtien.

Palo Alton Unit 42 -tiimin vanhempi varatoimitusjohtaja Sam Rubin sanoi, että ryhmä on muuttanut menetelmiään ajan myötä ja kiihdyttänyt kampanjoitaan niiden kääntyessä kohti Yhdysvaltoja.

Rubin lisäsi, että kyberrikollisryhmät todennäköisesti hyödyntäisivät samoja puutteita näiden vakoilutaktiikoiden paljastumisen jälkeen.

Liittovaltion infrastruktuuri ja yksityinen sektori hälytystilassa

CISA:n lausunnossa vahvistettiin, että tietomurrot voivat vaikuttaa kriittiseen infrastruktuuriin Yhdysvalloissa, vaikka tarkempia yksityiskohtia ei annettu.

Liittovaltion viranomaiset kehottivat yksityisiä yrityksiä ryhtymään samoihin suojatoimenpiteisiin ja korostivat kampanjan mahdollista leviämistä hallituksen järjestelmien ulkopuolelle.

ArcaneDoor-operaatiota pidetään merkittävänä eskalaationa, sillä se pystyy istuttamaan haittaohjelmia, suodattamaan tietoja ja häiritsemään tärkeitä verkkoja.

Varoitukset korostavat, kuinka laajalti käytettyjen laitteiden, kuten Ciscon palomuurien, haavoittuvuudet aiheuttavat systeemisiä riskejä, mikä tekee kyberturvallisuustoimista kiireellisiä sekä julkisella että yksityisellä sektorilla.