Hackuritate

Icon-linkedin Facebook X-twitter BlueSky
știri infosec zise pe românește

Hackerii chinezi atacă routere Juniper Networks din seria MX

O grupare de hackeri chinezi a compromis routere end-of-life din seria MX de la Juniper Networks, plantând versiuni modificate ale backdoor-ului TinyShell în atacuri sofisticate ce au trecut de barierele de securitate implementate de producător.

Variantele de backdoor utilizate în atacuri includ capabilități unice ce permit exploatarea unor vulnerabilități în dispozitivele vizate.

Atacurile cibernetice asupra routerelor Juniper sunt parte dintr-o campanie de spionaj mai amplă, atribuită unui grup de actori statali cunoscut ca UNC3886 și asociat cu interesele Chinei.

Routerele din seria MX au fost concepute pentru a ajuta furnizorii de servicii (e.g. internet, telefonie), operatorii de ecosisteme cloud, și corporațiile cu transformarea digitală, făcând parte din infrastructura internă de rețea.

Activitatea hackerilor chinezi a fost descoperită la mijlocul anului trecut de către experții de la compania de securitate cibernetică Mandiant (subsidiară Google) și a vizat dispozitivele de rețea Juniper cu suport tehnic expirat.

UNC3886 este cunoscut pentru activități de spionaj cibernetic ce vizează organizații din domeniul apărării, tehnologiei, și telecomunicațiilor folosind tehnici avansate și vulnerabilități zero-day pentru a obține acces pe termen lung în rețelele victimelor.

Șase backdoors customizate, toate bazate pe TinyShell

Backdoor-ul TINYSHELL este scris în C și comunică printr-un protocol personalizat pentru a permite transferul fișierelor și stabilirea unei sesiuni shell de la distanță.

Mandiant a identificat pe routerele afectate șase mostre de malware, toate imitând binare legitime și fiind bazate pe TinyShell:

  • appid: backdoor activ ce comunică cu servere de comandă și control (C2) hardcodate, imită binarul legitim numit appidd (Application Identification Daemon)
  • to: similar cu appid, doar că folosește servere C2 diferite, imită binarul legitim numit top (Table of Processes)
  • irad: backdoor pasiv ce funcționează ca sniffer bazat pe libpcap, imită binarul legitim irsd (Interface Replication and Synchronization Daemon)
  • lmpad, jdosd, oemd: Backdoor-uri pasive ce imită fișierele legitime ale sistemului (Link Management Protocol Daemon, Juniper DDOS protection Daemon, Operation, Administration and Maintenance Daemon)

Unele backdoor-uri sunt activate prin injectarea codului malițios într-un proces legitim al routerului.

Hackerii utilizează tehnici avansate pentru a obține acces privilegiat și pentru a masca prezența malware-ului, deschizând astfel calea spre compromiterea rețelelor țintă fără ca activitatea să fie detectată.

În cazul lmpad, atacatorii au adăugat posibilitatea de a lansa un script extern capabil să injecteze cod malițios in procese legitime din Juno OS cu scopul de a împiedica crearea de loguri.

„Scopul principal al acestui malware [lmpad] este de a dezactiva toate logurile posibile înainte ca operatorul să se conecteze la router pentru a efectua activități practice și apoi să restabilească jurnalele după ce operatorul se deconectează.” – Mandiant

Evitarea protecției Veriexec din Junos OS

Echipamentele ce rulează Junos OS, sistemul de operare de pe dispozitivele Juniper, sunt protejate prin veriexec, un mecanism de semnare și verificare a fișierelor, pe care atacatorul UNC3886 a reușit să-l evite prin executarea codului malițios în contextul unui proces legitim (process injection).

Această metodă este acum identificată ca o vulnerabilitate (CVE-2025-21590) și descrisă într-un buletin de securitate de la Juniper ca fiind o izolare insuficientă în kernel-ul Junos OS ce permite unui atacator local cu privilegii ridicate să compromită integritatea dispozitivului.

Raportul Mandiant detaliază tehnic metoda folosită de UNC3886, explicând că atacatorul a folosit credențiale compromise pentru acces la dispozitivele Junos OS MX de pe un server pentru administrarea sistemelor din rețea, și au accesat shell-ul FreeBSD din linia de comandă (CLI) Junos OS.

Printre recomandările oferite de experții în analiza atacurilor cibernetice din partea actorilor statali ce vizează dispozitive Juniper, se numără:

  • Actualizarea dispozitivelor Juniper și execuția verificărilor de securitate: organizațiile ar trebui să folosească cele mai recente imagini care conțin ultimele mitigări și semnături pentru JMRT și să ruleze JMRT Quick Scan și să verifice integritatea codului după upgrade
  • Autentificare securizată: implementați un sistem centralizat de gestionare a identității și accesului (IAM) cu autentificare multi-factor (MFA) robustă și control al accesului granular bazat pe roluri (RBAC) pentru administrarea dispozitivelor de rețea
  • Managementul configurației: implementați un management al configurației rețelei care acceptă validarea configurației față de tipare și standarde definite, cu capacitatea de a remedia automat abaterile sau de a declanșa alerte pentru intervenția manuală
  • Monitorizare îmbunătățită: adresați și prioritizați activitățile administrative cu risc ridicat și implementați soluții de monitorizare cu un program de revizuire regulată a eficacității detecției
  • Managementul vulnerabilităților: prioritizați repararea și mitigarea vulnerabilităților din dispozitivele de rețea, inclusiv cele din sistemele de operare mai puțin cunoscute
  • Managementul ciclului de viață al dispozitivului: implementați un program de management al ciclului de viață al dispozitivului care include monitorizare proactivă, actualizări automate de software, și planificarea înlocuirii la sfârșitul ciclului de suport (EOL)
  • Întărirea securității: întăriți postura de securitate a dispozitivelor de rețea, a celor administrative, și a sistemelor utilizate pentru gestionarea dispozitivelor de rețea prin implementarea unor controale stricte de acces, segmentarea rețelei și alte măsuri de securitate
  • Informații despre amenințări: valorificați în mod proactiv informațiile despre amenințări pentru a evalua și îmbunătăți continuu eficacitatea controalelor de securitate împotriva amenințărilor emergente

Activitatea atacatorului UNC3886 a fost documentată încă din 2022, când experții de la Mandiant au analizat un malware folosit în operațiuni de spionaj ce vizau ecosistemele de virtualizare VMware ESXi, Linux vCenter, și mașini virtuale Windows.

De atunci au fost investigate mai multe atacuri atribuite lui UNC3886 și concentrate pe organizații strategice de pe tot globul.

„În ianuarie 2023, Mandiant a publicat o analiză detaliată a exploatării unei vulnerabilități în FortiOS, folosită de un atacator suspectat a fi UNC3886. În martie 2023, am furnizat detalii despre un ecosistem malware personalizat utilizat pe dispozitivele Fortinet afectate. Mai mult, investigația a descoperit compromiterea instalațiilor VMware, care a facilitat accesul la mașinile virtuale guest” – Mandiant

Mandiant oferă o analiză extinsă a backdoor-urilor folosite în atacurile UNC3886, subliniind că actorul continuă atacurile împotriva infrastructurii de rețea folosind un ecosistem de malware customizat.

Experții spun că prin compromiterea routerelor Juniper MX Series, UNC3886 arată o extindere a echipamentelor țintă, focusul anterior fiind pe dispozitive edge de rețea.

Pentru adversarii angajați în operațiuni de spionaj, atacurile de succes asupra acestor tip de dispozitive au avanatajul că oferă acces pe termen lung și la nivel înalt la infrastructura de rutare a conexiunilor, creând posibilitatea unor activități disruptive în viitor.

Tags

Picture of Mihai Barnea

Mihai Barnea

Tânăr aspirant la statutul de jurnalist, ajuns deocamdată la nivelul de reporter subscris principiului de informare corectă a publicului.
știri conexe
Stay Connected
Like Us On Facebook
Follow Us On Twitter
Subscribe To Our Channel
ultimele știri
Category
Lorem ipsum dolor sit amet, consectetur adipiscing elit eiusmod tempor ncididunt ut labore et dolore magna