Hackers doorbreken Amerikaanse federale firewalls terwijl cyberspionage van ArcaneDoor zich uitbreidt

Hackers hebben misbruik gemaakt van kwetsbaarheden in de firewall-apparaten van Cisco Systems die door Amerikaanse federale agentschappen worden gebruikt, aldus ambtenaren.

Het Cybersecurity and Infrastructure Security Agency (CISA) heeft donderdag een noodrichtlijn uitgevaardigd waarin civiele instanties worden opgedragen inbreuken te identificeren en te beperken.

De fouten werden gebruikt om kwaadaardige code te implanteren en opdrachten uit te voeren, waardoor de vrees voor gestolen gegevens ontstond. Cisco bevestigde dat het sinds mei 2025 aanvallen onderzocht nadat meerdere overheidsinstanties incidenten hadden gemeld.

Het National Cyber Security Centre (NCSC) van het VK sloeg ook alarm en waarschuwde dat de dreiging zich uitstrekte tot buiten de Amerikaanse grenzen en kritieke infrastructuur zou kunnen treffen.

CISA neemt maatregelen om de inbreuken in te dammen

CISA handelde snel nadat het had bevestigd dat de inbraken federale netwerken hadden bereikt.

Chris Butera, waarnemend adjunct-adjunct-directeur van de cyberbeveiligingsdivisie van CISA, zei dat de dreiging "wijdverbreid" was en benadrukte dat particuliere bedrijven en andere overheidsinstanties ook moeten optreden.

Hoewel de richtlijn alleen van toepassing is op civiele instanties, suggereerde de omvang van het incident een breder risico voor kritieke infrastructuur in de VS.

Bloomberg meldt dat specifieke slachtoffers niet zijn bekendgemaakt, maar het onderzoek van CISA bevestigde dat gecompromitteerde apparaten actief waren binnen overheidssystemen.

Cisco onthult de ArcaneDoor-hackers

Cisco identificeerde de hackers als ArcaneDoor, een groep die sinds 2024 cyberspionagecampagnes voert. Het bedrijf zei dat het in mei 2025 voor het eerst werd ingeschakeld door overheidsinstanties om firewall-aanvallen te onderzoeken.

Cisco heeft een beveiligingswaarschuwing uitgegeven waarin staat dat de aanvallers fouten in zijn apparaten hadden misbruikt om code te implanteren, opdrachten uit te voeren en mogelijk gevoelige gegevens te stelen.

Door de kwetsbaarheden konden hackers de verdediging omzeilen, waardoor federale systemen een belangrijk doelwit werden. Cisco's bevindingen toonden aan dat ArcaneDoor de afgelopen maanden zijn focus had verlegd van wereldwijde spionage naar Amerikaanse entiteiten.

Internationale waarschuwingen en toenemende risico's

Het Britse NCSC herhaalde de waarschuwingen van CISA en merkte op dat de kwetsbaarheden kunnen worden gebruikt om kwaadaardige code op netwerken te implanteren.

Het advies benadrukte dat de aanvallen niet beperkt waren tot Amerikaanse agentschappen, wat aanleiding gaf tot bezorgdheid over risico's voor internationale partners. Cyberbeveiligingsbedrijf Palo Alto Networks bevestigde ook dat het ArcaneDoor sinds vorig jaar volgde.

Sam Rubin, senior vice-president bij het Unit 42-team van Palo Alto, zei dat de groep zijn methoden in de loop van de tijd had veranderd, waardoor zijn campagnes escaleerden toen ze zich naar de VS wendden.

Rubin voegde eraan toe dat cybercriminele groepen waarschijnlijk dezelfde gebreken zouden uitbuiten na de onthulling van deze spionagetactieken.

Federale infrastructuur en privésector in staat van paraatheid

De verklaring van CISA bevestigde dat de inbreuken gevolgen kunnen hebben voor kritieke infrastructuur in de VS, hoewel er geen verdere details werden gegeven.

Federale functionarissen drongen er bij particuliere bedrijven op aan om dezelfde beschermende maatregelen te nemen, waarbij ze de mogelijke verspreiding van de campagne buiten de overheidssystemen benadrukten.

De ArcaneDoor-operatie wordt gezien als een aanzienlijke escalatie, met de mogelijkheid om malware te implanteren, gegevens te exfiltreren en essentiële netwerken te verstoren.

De waarschuwingen onderstrepen hoe kwetsbaarheden in veelgebruikte apparaten zoals Cisco-firewalls systeemrisico's creëren, waardoor cyberbeveiligingsmaatregelen urgent zijn in zowel de overheids- als de particuliere sector.