Chinesische Hacker nutzen maßgeschneiderte Hintertüren in Juniper-Routern

MÜNCHEN (IT BOLTWISE) – Eine kürzlich entdeckte Cyber-Spionage-Kampagne, die von der China-nahen Gruppe UNC3886 durchgeführt wird, hat die Sicherheitsgemeinschaft alarmiert. Diese Gruppe hat es auf veraltete MX-Router von Juniper Networks abgesehen, um maßgeschneiderte Hintertüren zu installieren.

Die Cyber-Spionage-Gruppe UNC3886, die mit China in Verbindung gebracht wird, hat eine neue Angriffswelle gestartet, die sich auf die MX-Router von Juniper Networks konzentriert. Diese Router, die das Ende ihrer Lebensdauer erreicht haben, sind das Ziel von Angriffen, bei denen maßgeschneiderte Hintertüren installiert werden. Diese Hintertüren verfügen über eine Vielzahl von Funktionen, darunter aktive und passive Rückkanäle sowie Skripte, die die Protokollierungsmechanismen auf den Zielgeräten deaktivieren. Laut einem Bericht von Mandiant, einem auf Bedrohungsaufklärung spezialisierten Unternehmen, zeigt diese Entwicklung eine Weiterentwicklung der Angriffsmethoden von UNC3886. Historisch gesehen hat die Gruppe Zero-Day-Schwachstellen in Geräten von Fortinet, Ivanti und VMware ausgenutzt, um Netzwerke zu kompromittieren und sich langfristigen Zugang zu verschaffen. Die Hackergruppe wurde erstmals im September 2022 dokumentiert und gilt als äußerst fähig, insbesondere wenn es darum geht, Randgeräte und Virtualisierungstechnologien anzugreifen. Ihr Hauptziel sind Verteidigungs-, Technologie- und Telekommunikationsunternehmen in den USA und Asien. Diese Angriffe nutzen oft die Tatsache aus, dass Netzwerkperipheriegeräte häufig keine Sicherheitsüberwachungs- und Erkennungslösungen haben, was es den Angreifern ermöglicht, unbemerkt zu operieren. Der jüngste Angriff, der Mitte 2024 entdeckt wurde, verwendet Implantate, die auf TinyShell basieren, einem C-basierten Backdoor-Programm, das bereits von anderen chinesischen Hackergruppen eingesetzt wurde. Mandiant identifizierte sechs verschiedene TinyShell-basierte Hintertüren, die jeweils einzigartige Fähigkeiten besitzen. Diese reichen von Dateitransfer und interaktiven Shells bis hin zu passiven Rückkanälen, die als Paket-Sniffer fungieren. Besonders bemerkenswert ist die Fähigkeit der Angreifer, die Sicherheitsmechanismen von Junos OS zu umgehen, indem sie sich privilegierten Zugang zu einem Router verschaffen und die bösartigen Nutzlasten in den Speicher legitimer Prozesse injizieren. Ziel dieser Malware ist es, alle möglichen Protokollierungen zu deaktivieren, bevor der Operator sich mit dem Router verbindet, und die Protokolle nach der Abmeldung wiederherzustellen. Zu den weiteren von UNC3886 eingesetzten Werkzeugen gehören Rootkits wie Reptile und Medusa sowie Tools zur SSH-Authentifizierung und zur Anti-Forensik. Unternehmen wird dringend empfohlen, ihre Juniper-Geräte auf die neuesten Versionen zu aktualisieren, die von Juniper Networks bereitgestellt werden, um sich gegen diese Bedrohungen zu schützen. Diese Entwicklungen verdeutlichen, dass UNC3886 über tiefgehendes Wissen über fortgeschrittene Systeminternas verfügt und weiterhin auf Tarnung und langfristige Persistenz setzt, um das Risiko der Entdeckung zu minimieren.

Zu den Top-Stories!

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!

Angebot

1.918 Bewertungen

EIlik - Ein Desktop-Begleitroboter mit emotionaler Intelligenz, Multi-Roboter-Interaktionen, Desktop-Robotik-Partner

• NIEDLICHER BEGLEITER: Eilik ist der ideale Begleiter für Kinder und Erwachsene, die Haustiere, Spiele und intelligente Roboter lieben. Mit vielen Emotionen, Bewegungen und interaktiven Funktionen.

169,00 EUR

Bei Amazon kaufen