Взломщики из Китая атакуют маршрутизаторы Juniper Networks, немедленно установите исправления.

Исследователи из Mandiant обнаружили новую хакерскую атаку, направленную на маршрутизаторы Juniper Networks. Они связывают эту активность с китайским актором, который целится в телекоммуникационные компании, оборонные и технологические предприятия. Пользователям рекомендуется обновить и проверить свои устройства.

Китайские хакеры пытаются получить доступ к организациям из области обороны, технологий и телекоммуникаций в США и Азии, используя различные модификации зловреда-бэкдора для маршрутизаторов Juniper Networks. Google’s cybersecurity team Mandiant опубликовал подробный анализ группы сегодня утром. Исследователи впервые заметили незаконную активность в середине 2024 года и связали ее с китайской шпионской группой UNC3886, о которой TechRadar Pro сообщал неоднократно в прошлом. Эта группа ранее была замечена при атаках на VMware, Ivanti VPN и другие продукты с помощью бэкдоров и зловредов.

Mandiant выявил шесть образцов зловреда, с помощью которых злоумышленники проникли в устройства на базе Junos OS, обходя защитную систему Veriexec (Verified Exec), которая защищает операционную систему от неавторизованных бинарных файлов. Исследователи объяснили: «Исполнение ненадежного кода все еще возможно, если он выполняется в контексте надежного процесса». Mandiant обнаружил, что UNC3886 смогла обойти это защитное мероприятие, внедрив зловредный код в память легального процесса.

UNC3886 целенаправленно атаковала жертв с помощью шести различных образцов зловредного ПО, все они являются вариациями бэкдора TINYSHELL с уникальными возможностями. Хотя у всех есть одинаковая базовая функция бэкдора, они различаются методами активации и специфическими особенностями для разных ОС.

Mandiant отметил, что злоумышленники «продолжают демонстрировать глубокое понимание подлежащей технологической платформы», и рекомендовал пользователям обновить свои устройства Juniper до последних образов. Эти обновления включают меры защиты и обновленные сигнатуры для инструмента удаления зловреда от Juniper (JMRT), который следует активировать после обновления для проверки целостности конечных точек.

На момент написания этого анализа Mandiant не выявил технического пересечения между описанными здесь действиями и теми, которые ранее были публично сообщены как Volt Typhoon или Salt Typhoon. Это позволяет предположить, что Salt Typhoon, Volt Typhoon и UNC3886 — это различные сущности (возможно, работающие под одним «зонтиком»).