Chinese hackers hebben aangepaste achterdeurtjes geïmplementeerd op Juniper Networks Junos OS MX-routers.
Mandiant heeft aangepaste achterdeurtjes geïdentificeerd op Junos OS-routers van Juniper Networks. De malware wordt toegeschreven aan de China-nexus spionagegroep UNC3886. De aanval richt zich op end-of-life hardware en software.
Achterdeurtjes
De achterdeurtjes, gebaseerd op TINYSHELL, bieden zowel actieve als passieve toegangsmogelijkheden. Ze bevatten ook scripts die logmechanismen uitschakelen, waardoor detectie wordt bemoeilijkt. Volgens Mandiant heeft UNC3886 zich al eerder gericht op virtualisatietechnologieën en randapparatuur, die vaak geen geavanceerde beveiligingsmonitoring ondersteunen. De focus ligt op langdurige toegang tot netwerken en laterale beweging met gestolen inloggegevens.
lees ook
Juniper-routers wereldwijd stiekem voorzien van mysterieuze achterpoort
Mandiant werkte samen met Juniper Networks om de impact te onderzoeken. De getroffen routers maken gebruik van verouderde hardware en software. Juniper Networks adviseert klanten om hun apparaten te upgraden naar de nieuwste firmwareversies, waarin mitigaties en bijgewerkte handtekeningen voor de Juniper Malware Removal Tool (JMRT) zijn opgenomen. Na de upgrade wordt aanbevolen om een JMRT Quick Scan en Integrity Check uit te voeren.
Voortdurende dreiging
UNC3886 blijft zijn tactieken en technieken verfijnen. De groep heeft in 2024 een nieuwe tool geïntroduceerd waarmee ze zich verder binnen netwerken kunnen verplaatsen. Mandiant heeft geen technische overeenkomsten gevonden tussen deze activiteit en bekende campagnes zoals Volt Typhoon of Salt Typhoon. De bevindingen bevestigen dat UNC3886 zich specialiseert in het misbruiken van netwerk- en edge-apparaten voor langdurige infiltratie.