https://cloud.google.com/blog/topics/threat-intelligence/china-nexus-espionage-targets-juniper-routersИсследователи из Google Mandiant сообщили (
https://cloud.google.com/blog/topics/threat-intelligence/china-nexus-espionage-targets-juniper-routers), что китайская 🇨🇳 хакерская группа UNC3886, известная своими атаками на сетевые устройства и разработкой кастомного вредоносного ПО, атаковала маршрутизаторы Juniper MX Series. Группа сумела обойти механизмы защиты Junos OS и внедрить бэкдоры, получив долгосрочный скрытый доступ к сетям 🐲
⚠️ Как происходило заражение?
1️⃣ Использование устаревших устройств
➖ Атака затронула маршрутизаторы с устаревшими версиями ПО и аппаратного обеспечения, что делает их уязвимыми
➖ Эксплуатировались слабости в системе аутентификации и недостатки контроля целостности файлов
2️⃣ Проникновение через легитимные учетные данные
➖ Первоначальный доступ получен с использованием действующих учетных данных, вероятно, украденных на ранее скомпрометированных системах
➖ Хотя UNC3886 ранее применяла 0-day уязвимости, в данном случае ставку сделали на угон учетных записей и обход механизмов защиты
3️⃣ Обход контроля целостности файлов Junos OS
➖ В Junos OS используется механизм защиты NetBSD Verified Exec (veriexec), проверяющий целостность исполняемых файлов
➖ UNC3886 разработала сложную технику инъекции процессов:
✖️ Создавался зависший процесс с помощью команды cat
✖️ В его выделенную память загружался вредоносный код
✖️ Процессу передавалось управление, позволяя обойти veriexec.
⚠️ Какие вредоносы использовали?
Исследователи обнаружили шесть модифицированных вариантов бэкдора TINYSHELL, замаскированных под системные процессы Junos OS. Их основная цель — скрытое управление устройствами и передача данных:
➖ lmpad — отключает логи перед подключением атакующего и восстанавливает их после завершения сессии.
➖ appid — активно подключается к серверам C2 (command & control) и ждет входящих соединений.
➖ irad — использует сетевой сниффер, ожидая “магический пакет” для активации.
➖ jdosd — скрытый бэкдор, использующий RC4-шифрование для управления через UDP.
➖ oemd — использует AES-шифрование и TCP-соединения для связи с атакующими.
⚠️ Что делает эту атаку опасной?
❗️ Долгосрочный скрытый доступ. UNC3886 умеет встраиваться в сетевые устройства, незаметно управляя трафиком.
❗️ Отсутствие защиты на сетевых устройствах. Традиционные EDR/антивирусные решения не работают на маршрутизаторах.
❗️ Глубокие знания Junos OS. Группа имеет экспертизу в внутреннем устройстве ОС, создавая бэкдоры с высокой степенью маскировки.
❗️ Сложность атрибуции. Использование ORB-сетей (операционные релейные сети) делает отслеживание атакующего затруднительным.
⚠️ Как защититься?
🔄 Обновление ПО. Установить актуальные (
https://supportportal.juniper.net/s/article/2025-03-Out-of-Cycle-Security-Bulletin-Junos-OS-A-local-attacker-with-shell-access-can-execute-arbitrary-code-CVE-2025-21590?language=en_US) версии Junos OS, включающие исправления и улучшенные сигнатуры.
🔍 Мониторинг целостности конфигураций. Использовать инструменты управления конфигурациями для выявления отклонений, например, Juniper Malware Removal Tool (
https://www.juniper.net/documentation/us/en/software/junos/security-services/topics/concept/juniper-malware-removal-tool.html).
🔒 Контроль доступа. Реализовать многофакторную аутентификацию (MFA) и централизованное управление доступом (IAM).
🎮 Разделение сетей. Организовать сетевую сегментацию, ограничив доступ к критическим устройствам.
👀 Использование Threat Intelligence. Отслеживать индикаторы компрометации (IoC) и обновлять защитные механизмы.
UNC3886 продолжает совершенствовать свои атаки, переходя от атак на сетевые шлюзы (раньше уже компрометировали решения Ivanti и Fortinet) к внутренним сетевым устройствам 🐉 Их работа с Juniper MX показывает глубокие знания сетевой инфраструктуры, что делает их атаки особенно опасными. Компаниям стоит пересмотреть защиту своих маршрутизаторов, особенно если они работают на устаревшем ПО, что, в условиях ухода Juniper из России, вполне реальная ситуация.
ЗЫ. Интересно, а мы уверены, что в отечественном сетевом оборудовании не орудуют китайцы? 🤔
https://t.me/alukatsky/12427
День рождения Рунета
Гостей: 38
Скрытых: 0
Пользователей: 0
Всего пользователей: 
