קבוצת ריגול הסייבר הסינית תוקפת ראוטרים של ארגוני בטחון וטכנולוגיה

Images by Pixabay

This post is also available in: English (אנגלית)

קבוצת ריגול סייבר סינית, שזוהתה כ-UNC3886, תקפה את הנתבים של חברתJuniper Networks המשתמשים במערכת ההפעלה Junos OS, הנמצאים בשימוש נרחב, תוך שימוש בדלתות אחוריות מותאמות המיועדות לחומרה מיושנת. פעילות הקבוצה, שהתגלתה על ידי חוקרי גוגל מנדיאנט באמצע 2024, התמקדה בעיקר בארגוני תקשורת, הגנה וטכנולוגיה, במיוחד בארה"ב ובאסיה.

ל-UNC3886, הידועה בשיטות התקיפה המתקדמות שלה, יש היסטוריה של ניצול התקני רשת וטכנולוגיות וירטואליזציה, לעתים קרובות תוך שימוש בחולשות זירו-דיי. במקרה הנוכחי, ההאקרים התמקדו במיוחד בנתבי Juniper MX הנמצאים בסוף חייהם, שהריצו חומרה ותוכנה מיושנים. כדי לחדור למכשירים, UNC3886 השתמשו לפחות בשש גרסאות שונות של דלת אחורית המבוססות על TINYSHELL, כלי קל משקל המאפשר להריץ שורות פקודה.

התוכנה הזדונית היא מתוחכמת, המאפשרת גישה מרחוק וביצוע פקודות. הדלתות האחוריות שנפרסו על ידי הקבוצה כוללות יכולות לחבל בלוגים, מה שמקל על התוקפים לשמור על גישה לטווח ארוך תוך התחמקות מגילוי. אחד ההיבטים המדאיגים ביותר של התקפות אלה הוא היכולת של הקבוצה לעקוף את Veriexec, תכונת אבטחה קריטית של מערכת ההפעלה Junos OS המגנה מפני שיבוש הקוד. על ידי ניצול חולשות ישנות של חומרה ותוכנה, UNC3886 הצליחה להשיג root access ולהטמיע את הקוד הזדוני שלה בזיכרון, תוך הימנעות מגילוי על ידי אמצעי אבטחה.

החקירה של מנדיאנט חשפה סוגים שונים של דלתות אחוריות, כל אחד עם מאפיינים ייחודיים. לדוגמה, שתי גרסאות, הנקראות "appid" ו-"to", משתמשות בהצפנת AES לאבטח תקשורת עם שרתי שליטה ובקרה ומאפשרות ביצוע של מגוון רחב של פקודות TINYSHELL. גרסה אחרת, "IRAD", פועלת כמסניפת פקטות, ומפעילה את הדלת האחורית שלה רק כאשר תעבורת רשת ספציפית מזוהה.

אולי הכי מדאיג, גרסת ה-"Impad" נועדה לנטרל לוגים של המערכת ולדכא התראות, מה שמאפשר לתוקפים לשמור על פרופיל נמוך תוך כדי ביצוע פעילותם. טקטיקה זו מגבירה את יכולת הקבוצה להתמיד בתוך הרשת הממוקדת לאורך תקופות ממושכות מבלי לעורר חשד.

מנדיאנט עבדה בשיתוף פעולה הדוק עם Juniper Networks כדי לטפל בחולשות אלה וממליצה בחום לארגונים לשדרג לגרסה העדכנית ביותר של המכשיר. הדו"ח ממליץ גם על שיפור כללי של נוהלי אבטחת סייבר, כולל שימוש בכלי אימות מאובטחים מתקדמים.