Η ομάδα κυβερνοκατασκοπείας με κινεζική προέλευση, γνωστή ως UNC3886, εντοπίστηκε να στοχεύει δρομολογητές MX της Juniper Networks που έχουν φτάσει στο τέλος του κύκλου ζωής τους, σε μια εκστρατεία που αποσκοπεί στην εγκατάσταση προσαρμοσμένων backdoors, υπογραμμίζοντας την ικανότητά τους να εστιάζουν σε εσωτερική δικτυακή υποδομή.
Προσαρμοσμένα backdoors και rootkits
Σύμφωνα με αναφορά της Mandiant, τα backdoors είχαν ποικίλες προσαρμοσμένες δυνατότητες, συμπεριλαμβανομένων ενεργών και παθητικών λειτουργιών, καθώς και ένα ενσωματωμένο script που απενεργοποιεί τους μηχανισμούς καταγραφής στη συσκευή-στόχο. Η Mandiant περιέγραψε αυτή την εξέλιξη ως μια προσαρμογή της τακτικής του αντιπάλου, ο οποίος ιστορικά εκμεταλλευόταν zero-day ευπάθειες σε συσκευές Fortinet, Ivanti και VMware για να παραβιάσει δίκτυα ενδιαφέροντος και να εδραιώσει επίμονη απομακρυσμένη πρόσβαση.
Στόχευση κρίσιμων υποδομών
Η UNC3886, που εντοπίστηκε τον Σεπτέμβριο του 2022, θεωρείται ιδιαίτερα ικανή και εξειδικευμένη στην στόχευση συσκευών αιχμής και τεχνολογιών εικονικοποίησης, με απώτερο στόχο την παραβίαση οργανισμών άμυνας, τεχνολογίας και τηλεπικοινωνιών στις Ηνωμένες Πολιτείες και την Ασία. Αυτές οι επιθέσεις εκμεταλλεύονται συχνά το γεγονός ότι τέτοιες συσκευές περιμέτρου δικτύου στερούνται λύσεων παρακολούθησης και ανίχνευσης ασφαλείας, επιτρέποντάς τους να λειτουργούν ανεμπόδιστα και χωρίς να προσελκύουν προσοχή.
Χρήση του TinyShell και παράκαμψη μηχανισμών ασφαλείας
Η πρόσφατη δραστηριότητα, που εντοπίστηκε στα μέσα του 2024, περιλαμβάνει τη χρήση implants βασισμένων στο TinyShell, ένα backdoor γραμμένο σε C που έχει χρησιμοποιηθεί στο παρελθόν από διάφορες κινεζικές ομάδες hacking. Η Mandiant εντόπισε έξι διακριτά backdoors βασισμένα στο TinyShell, το καθένα με μοναδικές δυνατότητες, όπως μεταφορά αρχείων, διαδραστικό κέλυφος, SOCKS proxy και αλλαγές διαμόρφωσης. Επιπλέον, οι επιτιθέμενοι παρέκαμψαν τις προστασίες του Junos OS ‘Verified Exec’ (veriexec), οι οποίες αποτρέπουν την εκτέλεση μη έμπιστου κώδικα, αποκτώντας προνομιακή πρόσβαση σε δρομολογητή μέσω ενός terminal server χρησιμοποιώντας νόμιμα διαπιστευτήρια. Αυτά τα αυξημένα δικαιώματα χρησιμοποιήθηκαν στη συνέχεια για την έγχυση κακόβουλων payloads στη μνήμη μιας νόμιμης διαδικασίας, οδηγώντας στην εκτέλεση του backdoor lmpad ενώ το veriexec ήταν ενεργοποιημένο.
Συστάσεις για προστασία
Οι οργανισμοί συνιστάται να αναβαθμίσουν τις συσκευές Juniper τους στις τελευταίες εκδόσεις που κυκλοφόρησε η Juniper Networks, οι οποίες περιλαμβάνουν μετριασμούς και ενημερωμένες υπογραφές για το Juniper Malware Removal Tool (JMRT). Επιπλέον, η Juniper έχει αναπτύξει την πλατφόρμα Secure AI-Native Edge, η οποία ενσωματώνει τεχνητή νοημοσύνη για την ενίσχυση της ασφάλειας και της απόδοσης του δικτύου, παρέχοντας ενοποιημένη ορατότητα και αυτοματοποίηση για την ανίχνευση, διάγνωση και επίλυση πιθανών απειλών.
Συνεργασία Juniper και IBM για ενίσχυση της ασφάλειας
Πρόσφατα, η Juniper Networks και η IBM ανακοίνωσαν σχέδια για επέκταση της συνεργασίας τους, με στόχο την απλοποίηση των λειτουργιών δικτύου των επιχειρήσεων μέσω καινοτομιών γενικής τεχνητής νοημοσύνης. Αυτή η συνεργασία αναμένεται να ενισχύσει περαιτέρω τις δυνατότητες ασφάλειας και διαχείρισης δικτύου, προσφέροντας πιο ολοκληρωμένες λύσεις για την προστασία των υποδομών.
Συμπέρασμα
Η δραστηριότητα της UNC3886 υπογραμμίζει την ανάγκη για συνεχή επαγρύπνηση και αναβάθμιση των συστημάτων ασφαλείας. Η υιοθέτηση προηγμένων λύσεων, όπως η Secure AI-Native Edge της Juniper, σε συνδυασμό με στρατηγικές συνεργασίες, μπορεί να προσφέρει στους οργανισμούς τα εργαλεία που χρειάζονται για να προστατεύσουν τις κρίσιμες υποδομές τους από εξελιγμένες απειλές.
Πηγές: GoogleCloud, TheHackerNews, BleepingComputer
