Експерти з кібербезпеки компанії Mandiant виявили серйозну загрозу для корпоративних мереж – комплекс витончених бекдорів, впроваджених у застарілі маршрутизатори Juniper Networks. Особливу небезпеку становить здатність шкідливого програмного забезпечення обходити систему захисту veriexec, яка відповідає за контроль цілісності файлів операційної системи Junos OS.
Складний механізм проникнення та особливості атаки
Зловмисники застосували багатоетапний підхід для компрометації пристроїв. Початковий доступ здійснювався через викрадені облікові дані з подальшим входом до середовища FreeBSD через командний інтерфейс Junos OS. Після отримання первинного доступу атакуючі використовували передові методи ін’єкції процесів, що дозволило їм успішно обходити як системи виявлення вторгнень, так і захисний механізм veriexec.
Технічний аналіз шкідливого ПЗ
В ході дослідження фахівці Mandiant ідентифікували шість модифікацій шкідливого ПЗ, створених на основі відкритого бекдора TinyShell. Кожна версія характеризується унікальними механізмами активації та функціональністю, спеціально адаптованою під архітектуру Junos OS. Зловмисники використовували технологію here document для створення зашифрованих base64-файлів, що містять стиснені архіви зі шкідливим навантаженням.
Масштаб загрози та атрибуція
За оцінками експертів, за атаками стоїть китайське угруповання UNC3886, відоме попередніми операціями проти мережевого обладнання та систем віртуалізації. Основними цілями атак стали оборонні підприємства, технологічні компанії та телекомунікаційні організації у США та країнах Азії. Масштаб загрози підкреслюється високим рівнем технічної складності використаних інструментів та методів проникнення.
Рекомендації щодо захисту та протидії
Для протидії виявленій загрозі Mandiant опублікувала індикатори компрометації та правила YARA. Компанія Juniper Networks, незважаючи на припинення підтримки вразливих пристроїв, випустила екстрені оновлення безпеки. Фахівці наполегливо рекомендують організаціям:
– Оновити пристрої до актуальних версій прошивки
– Використовувати останні сигнатури Juniper Malware Removal Tool
– Посилити моніторинг мережевої активності
– Регулярно проводити аудит безпеки інфраструктури
Цей інцидент яскраво демонструє критичну важливість своєчасного оновлення мережевого обладнання та необхідність постійного моніторингу безпеки інфраструктури, навіть якщо мова йде про застарілі пристрої. Організаціям необхідно приділяти особливу увагу захисту систем автентифікації та впроваджувати багаторівневий підхід до забезпечення кібербезпеки для ефективного протистояння сучасним загрозам.