Кампания J-magic: угроза для маршрутизаторов Juniper как VPN-шлюзов

Изображение: blog.lumen.com
Недавний отчет команды Black Lotus Labs в Lumen Technologies подробно описывает хакерскую кампанию под названием J-magic. Атаки, направленные на маршрутизаторы Juniper, действующие как VPN-шлюзы, используют сложные методы для получения несанкционированного доступа к корпоративным сетям.
Природа атаки
Кампания включает в себя бэкдор-атаку, в которой пассивный агент отслеживает наличие определенного «волшебного пакета», отправляемого злоумышленниками в TCP-трафике. При использовании бэкдора устанавливается агент – вариант cd00r, который:
- Сканирует на наличие предопределенных параметров;
- Устанавливает обратную оболочку;
- Предоставляет злоумышленникам контроль над устройством.
Это позволяет кражу данных или развертывание вредоносного программного обеспечения.
Целевая аудитория и последствия
Кампания J-magic нацелена на различные сектора, такие как:
- Полупроводниковая промышленность;
- Энергетика;
- Производство;
- Информационные технологии.
Это свидетельствует о широком спектре угроз. Анализ показывает, что примерно 50% целевых устройств служат шлюзами VPN, что усиливает риск утечки конфиденциальных данных.
Проверка и скрытность
Злоумышленники использовали сетевые функции для создания аналитики телеметрии, сосредоточив внимание на выявлении потенциально уязвимых маршрутизаторов Juniper. Особенности их деятельности включают:
- Целевое использование самоподписанных сертификатов X.509;
- Применение общедоступных VPN и прокси-сервисов для маскировки;
- Исследование устройств с открытым портом NETCONF.
Это создаёт проблемы для защитников, затрудняя обнаружение таких атак.
Рекомендации для пользователей
В тексте содержатся рекомендации для пользователей маршрутизаторов корпоративного уровня по улучшению возможностей обнаружения подобных угроз:
- Постоянный мониторинг аналитических данных об угрозах;
- Совместное использование IOCs (Indicators of Compromise);
- Поиск и блоги по обнаружению, предназначенные для выявления вредоносных программ на основе BPF, таких как cd00r.
Заключение
Кампания J-magic представляет собой сложную угрозу, направленную на маршрутизаторы Juniper, которые служат VPN-шлюзами. Она демонстрирует передовые технологии и способы уклонения, используемые хакерами для получения несанкционированного доступа к критически важной сетевой инфраструктуре.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



