Хакер #309. Самооборона по-хакерски
Специалисты из компании Mandiant обнаружили серию кастомных бэкдоров, которые были установлены на старые маршрутизаторы компании Juniper Networks, работающие под управлением Junos OS.
По информации исследователей, бэкдоры были обнаружены в старом оборудовании и ПО, поддержка которых уже прекращена. При этом малварь обходила подсистему veriexec в ОС Junos — защитный механизм ядра, связанный с целостностью файлов.
Технический анализ угрозы показал, что злоумышленники получали привилегированный доступ к устройствам, используя легитимные учетные данные, входя в FreeBSD через CLI Junos OS. Проникнув внутрь системы, хакеры осуществляли инъекции в процессы, чтобы избежать обнаружения и срабатывания veriexec.
«Бэкдоры обладали различными возможностями, включая активные и пассивные функции бэкдора, а также встроенный скрипт, отключающий механизмы ведения логов на целевом устройстве», — сообщает Mandiant.
Исследователи сообщают, что группировка использовала here document для создания base64-шифрованного файла, который декодировался в сжатый архив, содержащий вредоносную полезную нагрузку.
Изучив память скомпрометированных маршрутизаторов, специалисты обнаружили, что злоумышленники внедряли пейлоад в порожденный процесс.
В общей сложности компания выявила шесть вредоносов на базе опенсорсного бэкдора TinyShell, каждый из которых использовал уникальные методы активации и возможности, адаптированные под Junos OS. Это свидетельствует о том, что хакеры детально изучили внутреннее устройство этой ОС.
Также Mandiant сообщает, что хакеры атаковали сетевые службы аутентификации, в том числе Terminal Access Controller Access-Control System (TACACS+) и терминальные серверы с доступом к маршрутизаторам, чтобы изначально получить привилегированный доступ.
«Такой привилегированный доступ позволял злоумышленникам входить в Junos OS в шелл-режиме и выполнять определенные операции. Расследование дальнейших действий атакующих было затруднено из-за сложностей, присущих анализу проприетарных сетевых устройств, которые требуют новых методов сбора и анализа артефактов», — комментируют специалисты.
Предполагается, что за этой кампанией стоит китайская группировка UNC3886, которая в прошлом уже атаковала сетевые устройства и технологии виртуализации с помощью 0-day эксплоитов. Интересы этой APT в основном сосредоточены на оборонных, технологических и телекоммуникационных организациях, расположенных в США и странах Азии.
Компания опубликовала индикаторы компрометации и правила YARA, чтобы помочь защитникам обнаружить признаки заражения. Кроме того, специалисты рекомендуют организациям обновить устройства Juniper до последних версий, включающих современную защиту и обновленные сигнатуры для Juniper Malware Removal Tool (JMRT).
Juniper Networks уже подготовила собственный бюллетень безопасности, посвященный этой проблеме. Компания подготовила патчи, невзирая на то, что поддержка пострадавших устройств уже была прекращена.
