Китайские хакеры взламывают маршрутизаторы Juniper Networks с помощью специальных бэкдоров и руткитов
Изображение: recraft
Кибершпионская группа UNC3886, якобы связанная с Китаем, использует уязвимости устаревших маршрутизаторов MX компании Juniper Networks для скрытой установки бэкдоров. По данным специалистов Mandiant хакеры совершенствуют методы проникновения в инфраструктуру, сосредотачиваясь на сетевом оборудовании.
Как отмечается в отчёте, вредоносное ПО, применяемое атакующими, обладает различными функциями, включая активные и пассивные механизмы управления, а также встроенные инструменты, отключающие журналы событий, что затрудняет обнаружение посторонней активности.
Аналитики указывают, что UNC3886 ранее специализировалась на эксплуатации неизвестных уязвимостей в продуктах Fortinet, Ivanti и VMware, получая доступ к закрытым сетям. Исследователи считают, что таким образом злоумышленники стремятся закрепиться в инфраструктуре и получить длительный доступ к критически важным объектам.
Эта группа хакеров, впервые описанная в 2022 году, демонстрирует высокий уровень подготовки. Их атаки направлены на оборудование, расположенное в Соединённых Штатах и странах Азии. Под прицелом оказываются организации из оборонного, технологического и телекоммуникационного секторов.
Специалисты Mandiant подчёркивают, что маршрутизаторы остаются уязвимыми, поскольку их защита часто не предусматривает систем мониторинга и обнаружения атак, что даёт хакерам возможность беспрепятственно использовать их в своих целях.
По мнению экспертов, взлом сетевого оборудования становится распространённой тактикой кибершпионажа. Этот метод позволяет злоумышленникам не только получить доступ к важным узлам, но и оставаться незамеченными в течение длительного времени, что повышает риск серьёзных последствий для безопасности информационных систем.
Последние атаки, зафиксированные в середине 2024 года, связаны с использованием имплантов на базе TinyShell. Это вредоносное ПО, написанное на C, уже применялось различными китайскими группировками, среди которых Liminal Panda и Velvet Ant.
Как пояснил Остин Ларсен, аналитик из Google Threat Intelligence Group, TinyShell представляет интерес для хакеров из-за компактности и хорошей совместимости с Linux-системами, что делает его удобным инструментом для скрытого присутствия в заражённых сетях.
