Hakerzy włamują się do amerykańskich federalnych zapór sieciowych w miarę rozwoju cyberszpiegostwa ArcaneDoor

Według urzędników, hakerzy wykorzystali luki w zabezpieczeniach zapór sieciowych Cisco Systems używanych przez amerykańskie agencje federalne.

Agencja ds. Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA) wydała w czwartek nadzwyczajną dyrektywę, nakazując agencjom cywilnym identyfikowanie i łagodzenie naruszeń.

Luki zostały wykorzystane do wszczepienia złośliwego kodu i wykonania poleceń, co wzbudziło obawy przed kradzieżą danych. Cisco potwierdziło, że prowadzi dochodzenie w sprawie ataków od maja 2025 r. po tym, jak wiele agencji rządowych zgłosiło incydenty.

Brytyjskie Narodowe Centrum Bezpieczeństwa Cybernetycznego (NCSC) również podniosło alarm, ostrzegając, że zagrożenie wykracza poza granice USA i może wpłynąć na infrastrukturę krytyczną.

CISA podejmuje działania w celu powstrzymania naruszeń

CISA podjęła szybkie działania po potwierdzeniu, że włamania dotarły do sieci federalnych.

Chris Butera, pełniący obowiązki zastępcy asystenta dyrektora wykonawczego ds. cyberbezpieczeństwa CISA, powiedział, że zagrożenie jest "powszechne" i podkreślił, że prywatne firmy i inne organy rządowe również powinny działać.

Choć dyrektywa dotyczy tylko agencji cywilnych, skala incydentu sugerowała szersze zagrożenie dla infrastruktury krytycznej w USA.

Bloomberg donosi, że konkretne ofiary nie zostały ujawnione, ale dochodzenie CISA potwierdziło, że zhakowane urządzenia były aktywne w systemach rządowych.

Cisco ujawnia hakerów ArcaneDoor

Cisco zidentyfikowało hakerów jako ArcaneDoor, grupę, która prowadzi kampanie cyberszpiegowskie od 2024 roku. Firma poinformowała, że po raz pierwszy została zaangażowana przez agencje rządowe w maju 2025 r. w celu zbadania ataków na zapory sieciowe.

Cisco wydało alert bezpieczeństwa, w którym szczegółowo opisano, że atakujący wykorzystali luki w swoich urządzeniach do wszczepiania kodu, uruchamiania poleceń i potencjalnej kradzieży poufnych danych.

Luki w zabezpieczeniach pozwoliły hakerom ominąć zabezpieczenia, co sprawiło, że systemy federalne stały się głównym celem. Ustalenia Cisco pokazały, że w ostatnich miesiącach ArcaneDoor przeniosło swoją uwagę z globalnego szpiegostwa na podmioty amerykańskie.

Alerty międzynarodowe i rosnące zagrożenia

Brytyjska NCSC powtórzyła ostrzeżenia CISA, zauważając, że luki w zabezpieczeniach mogą być wykorzystywane do umieszczania złośliwego kodu w sieciach.

W swoim raporcie podkreślono, że ataki nie ograniczały się do agencji amerykańskich, co budzi obawy o ryzyko dla partnerów międzynarodowych. Firma Palo Alto Networks, zajmująca się cyberbezpieczeństwem, również potwierdziła, że śledzi ArcaneDoor od zeszłego roku.

Sam Rubin, starszy wiceprezes zespołu Unit 42 w Palo Alto, powiedział, że grupa zmieniła swoje metody z biegiem czasu, eskalując swoje kampanie, gdy zwróciły się w stronę USA.

Rubin dodał, że grupy cyberprzestępcze prawdopodobnie wykorzystają te same luki po ujawnieniu tych taktyk szpiegowskich.

Infrastruktura federalna i sektor prywatny w pogotowiu

Oświadczenie CISA potwierdziło, że naruszenia mogą mieć wpływ na infrastrukturę krytyczną w USA, chociaż nie podano dalszych szczegółów.

Urzędnicy federalni wezwali prywatne firmy do podjęcia takich samych środków ochronnych, podkreślając potencjalne rozprzestrzenianie się kampanii poza systemy rządowe.

Operacja ArcaneDoor jest postrzegana jako znacząca eskalacja, z możliwością wszczepienia złośliwego oprogramowania, eksfiltracji danych i zakłócenia działania podstawowych sieci.

Ostrzeżenia podkreślają, w jaki sposób luki w powszechnie używanych urządzeniach, takich jak zapory sieciowe Cisco, stwarzają ryzyko systemowe, co sprawia, że reakcja na cyberbezpieczeństwo jest pilna zarówno w sektorze rządowym, jak i prywatnym.