Les pirates chinois déploient des portes dérobées personnalisées sur les routeurs Junos OS MX de Juniper Networks qui ont atteint la fin de vie (EoL) et ne reçoivent plus de mises à jour de sécurité.
Les portes dérobées sont principalement des variantes du malware TinyShell, un outil open source qui facilite l’échange de données et l’exécution de commandes sur les systèmes Linux, et qui a été utilisé par plusieurs groupes de menaces au fil des ans.
Les attaques ont été découvertes à la mi-2024 par Mandiant, qui a attribué les attaques à un acteur de menace de cyberespionnage connu sous le nom de UNC3886.
« À la mi-2024, Mandiant a découvert que des acteurs de la menace déployaient des portes dérobées personnalisées opérant sur les routeurs Junos OS de Juniper Networks », explique un nouveau rapport de Mandiant.
« Mandiant a attribué ces portes dérobées au groupe d’espionnage China-nexus, UNC3886. Mandiant a découvert plusieurs portes dérobées basées sur TINYSHELL fonctionnant sur les routeurs Junos OS de Juniper Networks. »
Cet acteur de la menace est connu pour ses attaques sophistiquées utilisant des vulnérabilités zero-day pour compromettre les plates-formes de virtualisation et les périphériques réseau périphériques.
En 2023, des pirates informatiques chinois ont été à l’origine d’une série d’attaques contre des organisations gouvernementales utilisant une vulnérabilité zero-day de Fortinet (CVE-2022-41328) pour déployer des portes dérobées personnalisées. Plus tard cette année-là, les auteurs de la menace ont exploité une vulnérabilité VMware ESXi zero-day vers des hôtes ESXi de porte dérobée.
Attaquer les routeurs Juniper avec 6 portes dérobées
Mandiant a observé des attaques UNC3886 à partir de serveurs terminaux utilisés pour gérer les périphériques réseau, où les auteurs de la menace utilisaient des informations d’identification compromises pour accéder à l’interface de ligne de commande Junos OS et passer en mode shell FreeBSD.
Les chercheurs notent que Junos OS dispose d’un système d’intégrité des fichiers nommé « Veriexec » qui empêche l’exécution de code non autorisé sur les appareils. Cependant, ils ont découvert que le code injecté dans des processus de confiance pouvait toujours être exécuté.
« La protection Veriexec empêche l’exécution de binaires non autorisés. Cela représente un défi pour les acteurs de la menace, car la désactivation de veriexec peut déclencher des alertes », explique les chercheurs de Mandiant.
« Cependant, l’exécution de code non approuvé est toujours possible si elle se produit dans le contexte d’un processus approuvé. L’enquête de Mandiant a révélé qu’UNC3886 était capable de contourner cette protection en injectant du code malveillant dans la mémoire d’un processus légitime. »
En utilisant cette méthode, UNC3886 a installé les six portes dérobées personnalisées sur les routeurs MX, toutes basées sur TinyShell:
- appid-Porte dérobée active qui imite l’appidd du processus légitime.’Il établit une session shell à distance, permet de télécharger/télécharger des fichiers et peut agir comme un proxy pour le trafic malveillant.
- à-Porte dérobée active qui imite le haut du processus légitime.’Il fonctionne de manière similaire à appid mais utilise différentes adresses de commande et de contrôle (C2).
- irad – Une porte dérobée passive qui imite le processus légitime’ irad – « Il fonctionne comme une porte dérobée renifleur de paquets, restant dormant jusqu’à ce qu’il soit activé par une chaîne ICMP magique intégrée dans le trafic réseau. Une fois déclenché, il établit une session shell à distance tout en évitant les méthodes de détection traditionnelles.
- jdosd – Une porte dérobée passive qui imite le processus légitime « jddosd ». Il écoute sur le port UDP 33512 et s’active lorsqu’il reçoit une valeur magique (0xDEADBEEF) de l’attaquant. Une fois activé, il fournit un accès shell à distance, permettant aux attaquants d’exécuter des commandes secrètement.
- oemd-Porte dérobée passive qui imite le processus légitime ‘oamd – « Il est conçu pour être activé par le réseau, se liant à des interfaces réseau spécifiques plutôt qu’à un port fixe. Il communique avec C2 sur TCP en utilisant le cryptage AES pour assurer un contrôle furtif et crypté.
- lmpad – Une porte dérobée utilitaire et passive qui imite le processus légitime « lmpd ». Il est principalement utilisé pour désactiver la journalisation et la surveillance de la sécurité avant une attaque, en modifiant les démons SNMP et de gestion de Juniper pour empêcher la détection. Après les opérations de l’attaquant, il peut restaurer les journaux, effaçant les traces médico-légales de l’intrusion.
Pour la furtivité et la persistance, chacune des six portes dérobées utilisées par UNC3886 dans les attaques a une méthode de communication C2 distincte et utilise un ensemble distinct d’adresses de serveur C2 codées en dur.
Étant donné que l’UNC3886 cible les routeurs Juniper MX en fin de vie, la priorité devrait être de remplacer ces périphériques par de nouveaux modèles activement pris en charge, puis de les mettre à niveau vers le dernier micrologiciel.
Bien que Juniper n’ait pas publié de correctifs cette fois-ci, le fournisseur a publié un bulletin comprenant des recommandations d’atténuation et des signatures mises à jour pour son outil de suppression des logiciels malveillants Juniper (JMRT).
Les administrateurs système doivent également renforcer la sécurité de l’authentification en utilisant un système centralisé de gestion des identités et des accès (IAM) et en appliquant l’authentification multifacteur (MFA) pour tous les périphériques réseau.
Une liste complète des indicateurs de compromission (IOC) liés à cette campagne et aux règles YARA et Snort/Suricata est fournie au bas du rapport de Mandiant.
Les routeurs Juniper ont également déjà été ciblés par des attaques de logiciels malveillants J-Magic qui ouvraient un shell inversé sur l’appareil lorsqu’il recevait des paquets spécialement conçus. Cette campagne a été conçue pour un accès à faible détection et à long terme aux réseaux d’entreprise.