Hackere bryter amerikanske føderale brannmurer mens ArcaneDoor cyberspionasje utvides

Hackere har utnyttet sårbarheter i Cisco Systems brannmurenheter som brukes på tvers av amerikanske føderale byråer, ifølge tjenestemenn.

Cybersecurity and Infrastructure Security Agency (CISA) utstedte torsdag et nøddirektiv, og beordret sivile byråer til å identifisere og redusere brudd.

Feilene ble brukt til å implantere ondsinnet kode og utføre kommandoer, noe som skapte frykt for stjålne data. Cisco bekreftet at de hadde etterforsket angrep siden mai 2025 etter at flere offentlige etater rapporterte hendelser.

Storbritannias National Cyber Security Centre (NCSC) slo også alarm og advarte om at trusselen strakte seg utover USAs grenser og kunne påvirke kritisk infrastruktur.

CISA tar grep for å begrense bruddene

CISA handlet raskt etter å ha bekreftet at inntrengningene hadde nådd føderale nettverk.

Chris Butera, fungerende viseadministrerende assisterende direktør for CISAs cybersikkerhetsavdeling, sa at trusselen var «utbredt» og understreket at private selskaper og andre offentlige organer også burde handle.

Selv om direktivet bare gjelder sivile byråer, antydet omfanget av hendelsen en bredere risiko for kritisk infrastruktur i USA.

Bloomberg rapporterer at spesifikke ofre ikke ble avslørt, men CISAs etterforskning bekreftet at kompromitterte enheter var aktive i offentlige systemer.

Cisco avslører ArcaneDoor-hackerne

Cisco identifiserte hackerne som ArcaneDoor, en gruppe som har kjørt cyberspionasjekampanjer siden 2024. Selskapet sa at det først ble engasjert av offentlige etater i mai 2025 for å etterforske brannmurangrep.

Cisco utstedte et sikkerhetsvarsel som beskrev at angriperne hadde utnyttet feil i enhetene sine for å implantere kode, kjøre kommandoer og potensielt stjele sensitive data.

Sårbarhetene tillot hackere å omgå forsvaret, noe som gjorde føderale systemer til et hovedmål. Ciscos funn viste at ArcaneDoor hadde flyttet fokus fra global spionasje til amerikanske enheter de siste månedene.

Internasjonale varsler og økende risiko

Storbritannias NCSC gjentok CISAs advarsler, og bemerket at sårbarhetene kan brukes til å implantere ondsinnet kode på tvers av nettverk.

Rådgivningen understreket at angrepene ikke var begrenset til amerikanske byråer, noe som reiste bekymring for risiko for internasjonale partnere. Cybersikkerhetsfirmaet Palo Alto Networks bekreftet også at de hadde sporet ArcaneDoor siden i fjor.

Sam Rubin, senior visepresident ved Palo Altos Unit 42-team, sa at gruppen hadde endret sine metoder over tid, og eskalerte kampanjene sine da de vendte seg mot USA.

Rubin la til at nettkriminelle grupper sannsynligvis vil utnytte de samme feilene etter avsløringen av disse spionasjetaktikkene.

Føderal infrastruktur og privat sektor i beredskap

CISAs uttalelse bekreftet at bruddene kan påvirke kritisk infrastruktur i USA, selv om det ikke ble gitt ytterligere detaljer.

Føderale tjenestemenn oppfordret private selskaper til å ta de samme beskyttelsestiltakene, og fremhevet den potensielle spredningen av kampanjen utover regjeringssystemene.

ArcaneDoor-operasjonen blir sett på som en betydelig eskalering, med muligheten til å implantere skadelig programvare, eksfiltrere data og forstyrre viktige nettverk.

Advarslene understreker hvordan sårbarheter i mye brukte enheter som Cisco-brannmurer skaper systemiske risikoer, noe som gjør cybersikkerhetstiltak presserende på tvers av både offentlig og privat sektor.