Фахівці з кібербезпеки Lumen Black Lotus Labs виявили масштабну шкідливу кампанію, в рамках якої використовується спеціалізоване шкідливе програмне забезпечення J-magic для компрометації мережевого обладнання Juniper. Основними цілями зловмисників стали підприємства напівпровідникової галузі, енергетичного сектору та важкої промисловості.
Технічний аналіз шкідливого ПЗ J-magic
J-magic представляє собою модифіковану версію відкритого бекдору cd00r, спеціально адаптовану для роботи в операційній системі JunoOS. Особливістю цього шкідливого ПЗ є використання складного механізму активації на основі виявлення спеціальних “магічних пакетів” у мережевому трафіку. Для здійснення моніторингу мережі програма створює спеціалізований eBPF-фільтр на визначеному мережевому інтерфейсі.
Механізм проникнення та захисту від виявлення
Процес компрометації системи включає п’ятиступеневу систему перевірок мережевого трафіку. Після виявлення відповідного “магічного пакету” активується додатковий рівень захисту з використанням RSA-шифрування, що запобігає несанкціонованому використанню шкідливого ПЗ іншими зловмисниками. Така складна система аутентифікації значно ускладнює виявлення та аналіз шкідливого коду.
Масштаби та географія атак
Кампанія J-magic, що тривала з середини 2023 до середини 2024 року, охопила організації у понад 12 країнах Європи, Азії та Південної Америки. Половина скомпрометованих пристроїв використовувалася як VPN-шлюзи, інші мали відкритий порт NETCONF, що створило додаткові вектори атаки.
Зв’язок з іншими кіберзагрозами
Дослідники відзначають схожість J-magic із шкідливим ПЗ SeaSpy, яке також базується на бекдорі cd00r. Проте суттєві технічні відмінності не дозволяють однозначно встановити зв’язок між цими загрозами. Варто зазначити, що SeaSpy раніше використовувався китайським угрупованням UNC4841 для атак на системи Barracuda Email Security Gateway.
Організаціям, що використовують обладнання Juniper, рекомендується впровадити комплексну систему захисту, яка включає постійний моніторинг мережевого трафіку, своєчасне оновлення програмного забезпечення та використання багаторівневої системи безпеки. Особливу увагу слід приділити аналізу нестандартних мережевих пакетів та забезпеченню належного контролю доступу до критичної мережевої інфраструктури.
