Команда исследователей компании Mandiant выявила серию сложных целевых бэкдоров, внедренных в устаревшие маршрутизаторы Juniper Networks под управлением операционной системы Junos OS. Особую обеспокоенность вызывает способность вредоносного ПО обходить встроенную систему защиты veriexec, отвечающую за контроль целостности файлов в ядре операционной системы.
Механизм проникновения и особенности атаки
Злоумышленники использовали многоэтапный подход для компрометации устройств. Первоначальный доступ осуществлялся через легитимные учетные данные с последующим входом в FreeBSD через командную строку Junos OS. После получения доступа атакующие применяли продвинутые техники инъекции процессов для обхода систем обнаружения и механизма veriexec.
Технический анализ вредоносного ПО
Исследователи идентифицировали шесть различных вариаций вредоносного ПО, созданных на базе открытого бэкдора TinyShell. Каждая версия обладала уникальными механизмами активации и функциональностью, специально адаптированной под особенности Junos OS. Злоумышленники использовали технику here document для создания зашифрованных base64-файлов, содержащих сжатые архивы с вредоносной нагрузкой.
Атрибуция и масштаб угрозы
По оценкам специалистов Mandiant, за атаками стоит китайская APT-группировка UNC3886, известная своими предыдущими операциями против сетевого оборудования и систем виртуализации с использованием эксплойтов нулевого дня. Основными целями злоумышленников являются оборонные, технологические и телекоммуникационные организации в США и странах Азии.
Меры противодействия и рекомендации
Для противодействия угрозе Mandiant опубликовала индикаторы компрометации и правила YARA. Компания Juniper Networks, несмотря на прекращение поддержки затронутых устройств, выпустила экстренные обновления безопасности. Специалисты настоятельно рекомендуют организациям обновить устройства до актуальных версий прошивки и использовать последние сигнатуры Juniper Malware Removal Tool (JMRT).
Данный инцидент подчеркивает критическую важность своевременного обновления сетевого оборудования и необходимость постоянного мониторинга безопасности инфраструктуры, даже если речь идет об устаревших устройствах. Организациям следует уделять особое внимание защите систем аутентификации и регулярно проводить аудит безопасности сетевой инфраструктуры для предотвращения подобных целевых атак.