Sicherheitsforscher von Lumen Black Lotus Labs haben eine neue, hochspezialisierte Malware-Kampagne aufgedeckt, die gezielt Juniper-Netzwerkgeräte angreift. Die Angriffe konzentrieren sich hauptsächlich auf Unternehmen in der Halbleiterindustrie, Energiewirtschaft und dem produzierenden Gewerbe, was auf ein strategisch motiviertes Vorgehen der Angreifer hindeutet.
Technische Analyse der J-magic Malware
J-magic basiert auf einer modifizierten Version des Open-Source-Backdoors cd00r und wurde speziell für das Betriebssystem JunoOS entwickelt. Die Malware implementiert einen ausgefeilten Aktivierungsmechanismus, der auf der Erkennung spezieller „Magic-Pakete“ im Netzwerkverkehr basiert. Zur Überwachung des Netzwerkverkehrs installiert die Schadsoftware einen eBPF-Filter auf der Zielschnittstelle.
Komplexer Infektionsprozess und Sicherheitsmechanismen
Die Malware führt eine mehrstufige Validierung durch und analysiert fünf verschiedene Netzwerkverkehrsparameter, um legitime „Magic-Pakete“ zu identifizieren. Nach erfolgreicher Erkennung wird eine zusätzliche RSA-basierte Authentifizierung durchgeführt, die verhindert, dass andere Angreifer die Kontrolle über die kompromittierten Systeme übernehmen können.
Internationale Dimension der Angriffskampagne
Die J-magic-Kampagne wurde zwischen Mitte 2023 und Mitte 2024 in mehr als 12 Ländern in Europa, Asien und Südamerika nachgewiesen. Etwa die Hälfte der kompromittierten Systeme fungierte als VPN-Gateway, während die übrigen Systeme über einen exponierten NETCONF-Port verfügten.
Verbindungen zu bekannten Bedrohungsakteuren
Experten haben technische Ähnlichkeiten zwischen J-magic und der SeaSpy-Malware festgestellt, die ebenfalls auf dem cd00r-Backdoor basiert. SeaSpy wurde zuvor von der chinesischen Hackergruppe UNC4841 bei Angriffen auf Barracuda Email Security Gateway-Systeme eingesetzt. Trotz der Parallelen können die Angriffe aufgrund technischer Unterschiede nicht eindeutig derselben Gruppe zugeordnet werden.
Diese neue Bedrohung unterstreicht die wachsende Gefahr gezielter Angriffe auf kritische Netzwerkinfrastrukturen. Organisationen mit Juniper-Systemen wird dringend empfohlen, ihre Sicherheitsmaßnahmen zu verstärken. Dies umfasst die Implementierung eines erweiterten Netzwerk-Monitorings, regelmäßige Software-Updates und den Aufbau mehrschichtiger Sicherheitsarchitekturen. Besonders kritisch ist die Überwachung ungewöhnlicher Netzwerkaktivitäten und die strikte Kontrolle des Zugriffs auf Managementschnittstellen.
