Chinese Hackers Target Juniper Networks with Backdoor Malware
U današnjem digitalnom svijetu, sigurnost informacija postaje sve važnija tema. Nedavni izvještaj otkriva zabrinjavajuću vijest: kineski hakeri ciljaju usmjerivače Juniper Networks koristeći različite modifikacije backdoor malware-a. Ovaj pokušaj napada ima za cilj pristup organizacijama u oblasti obrane, tehnologije i telekomunikacija u Sjedinjenim Američkim Državama i Aziji. Tim za cyber sigurnost tvrtke Google, Mandiant, objavio je detaljnu analizu ove grupe.
Novi Izvještaj Mandianta
Prema prvim informacijama iz izvještaja, istraživači su primijetili zlonamjernu aktivnost sredinom 2024. godine, koju su pripisali kineskoj špijunskoj grupi UNC3886. Mandiant navodi da su napadači uspješno infiltrirali uređaje koji koriste Junos OS, zaobilazeći Veriexec, sustav zaštite integriteta datoteka temeljen na kernelu, koji štiti operativni sustav od neovlaštenih kodova poput knjižnica i skripti.
Kako UNC3886 Obilazi Zaštitu
“Izvršenje nepouzdanog koda još uvijek je moguće ako se događa unutar konteksta pouzdane usluge,” objasnili su istraživači. “Mandiantova istraga pokazala je da je UNC3886 uspjela zaobići ovu zaštitu injektiranjem zlonamjernog koda u memoriju legitimnog procesa.” Ova grupa je ciljala svoje žrtve koristeći šest različitih malware uzoraka, svaki od kojih predstavlja varijantu TINYSHELL backdoora s jedinstvenim sposobnostima.
Diferencijacija Malware-a
- Svi uzorci imaju istu temeljnju funkcionalnost backdoora.
- Razlikuju se u metodama aktivacije.
- Posjeduju različite značajke specifične za operativni sustav.
Mandiant ukazuje da napadači “nastavljaju pokazivati duboko razumijevanje osnovne tehnologije” ciljanih uređaja i preporučuju korisnicima da nadograde svoje Juniper uređaje na najnovije verzije. Ove nadogradnje uključuju zaštitne mjere i ažurirane potpise za Juniper Malware Removal Tool (JMRT), koji je potrebno aktivirati nakon nadogradnje kako bi se skenirala cjelovitost krajnjih točaka.
Unikatni Entiteti ili Zajednička Prijetnja?
“U trenutku pisanja, Mandiant nije identificirao nikakva tehnička preklapanja između aktivnosti opisanih u ovom blogu i onih javno objavljenih od strane drugih strana kao što su Volt Typhoon ili Salt Typhoon,” dodao je Mandiant, sugerirajući da su Salt Typhoon, Volt Typhoon i UNC3886 različiti entiteti, ali su možda povezani.
Zaključak
Ova situacija ističe neophodnost stalne budnosti i zaštite informatičkih sustava od potencijalnih prijetnji. Korisnici Juniper Networksa trebali bi što prije postupiti prema preporukama Mandianta kako bi zaštitili svoje uređaje od zlonamjernih napada. Ostanite informirani i proaktivni kako biste osigurali sigurnost svojih računala i mreža.
