Nach einer monatelangen Untersuchung, die bis Mitte 2024 zurückreicht, veröffentlicht Mandiant seine Erkenntnisse über eine verdeckte Spionagekampagne des Akteurs (UNC3886), der mit China in Verbindung steht: Dieser hat benutzerdefinierte Malware auf ausgedienten Junos OS-Routern von Juniper Networks installiert.
Mandiant arbeitete mit Juniper Networks zusammen, um die Aktivitäten von UNC3886 zu untersuchen, und fand heraus, dass die betroffenen Juniper MX-Router, auf die die Gruppierung abzielte, mit veralteter Hardware und Software arbeiteten. Die von UNC3886 verwendeten benutzerdefinierten Malware-Samples zeigen, dass der Bedrohungsakteur über ein umfassendes Wissen von weitreichenden Systeminterna verfügt. Mandiant empfiehlt Unternehmen, ihre Juniper-Geräte auf die neuesten veröffentlichten Images zu aktualisieren, um Risiken zu minimieren und um aktualisierte Signaturen für das Juniper Malware Removal Tool (JMRT) zu erhalten. Unternehmen sollten nach dem Upgrade den JMRT Quick Scan und Integrity Check durchführen.
Details zu Juniper-Spionage
- UNC3886 nutzt ein eigenes Malware-Ökosystem: Mandiant fand sechs verschiedene Malware-Varianten, die auf mehreren ausgedienten Juniper MX-Routern eingesetzt werden. Jede dieser Varianten ist eine modifizierte Version der TINYSHELL-Backdoor, die es Angreifern ermöglicht, sich Zugang zu diesen Geräten zu verschaffen und sich länger dort aufzuhalten. Dazu gehören aktive und passive Hintertüren sowie ein eingebettetes Skript, das die Protokollierungsmechanismen deaktiviert und so die Sicherheitsüberwachungssysteme ausblendet.
- Veriexec, der integrierte Sicherheitsmechanismus von Junos OS: Mandiant hat keine Hinweise auf eine erfolgreiche Ausnutzung und Umgehung von Veriexec-Techniken gefunden, die bereits von Juniper in unterstützter Software und Hardware berücksichtigt wurden. Abgesehen von der im Blog beschriebenen neuartigen Prozessinjektionstechnik deuten die Infektionen auf den kompromittierten EOL Juniper MX-Routern jedoch darauf hin, dass der Bedrohungsakteur erfolgreich ausführbare Hintertüren eingesetzt hat. Der Angreifer verfügt über Root-Zugriff auf die betroffenen Geräte.
- Veränderte Taktiken, Techniken und Verfahren (TTPs, Tactics, Techniques, and Procedures) des Bedrohungsakteurs: Während sich UNC3886 bisher auf Netzwerk-Edge-Geräte konzentrierte, zeigt diese jüngste Aktivität, dass die Gruppierung auch auf interne Netzwerkinfrastrukturen wie Router von Internetdienstanbietern abzielt, was im Erfolgsfall erhebliche Auswirkungen haben könnte. Mandiant und Juniper Networks empfehlen Unternehmen, ihre Netzwerkgeräte auf aktuelle Versionen mit den neuesten Sicherheits-Patches zu aktualisieren, die Juniper Networks veröffentlichen wird.
Über Mandiant Mandiant ist ein anerkannter Marktführer für dynamische Cyberabwehr, Threat Intelligence und Incident Response. Mit jahrzehntelanger Erfahrung an vorderster Cyberfront hilft Mandiant Unternehmen dabei, sich selbstbewusst und proaktiv gegen Cyber-Bedrohungen zu verteidigen und auf Angriffe zu reagieren. Mandiant ist jetzt Teil von Google Cloud.