Alguien ha sido trasero en silencio en los enrutadores de enebro seleccionados en todo el mundo en sectores clave, incluidos semiconductores, energía y fabricación, desde al menos a mediados de 2023.
Los dispositivos estaban infectados con lo que parece ser una variante de CD00RUna «puerta trasera invisible» disponible públicamente diseñada para operar sigilosamente en la máquina de una víctima al monitorear el tráfico de red para condiciones específicas antes de activar.
Todavía no se sabe públicamente cómo los Snoops obtuvieron acceso suficiente al equipo de Junos OS de ciertas organizaciones para plantar la puerta trasera, lo que les da un control remoto sobre el equipo de redes. Lo que sí sabemos es que aproximadamente la mitad de los dispositivos se han configurado como puertas de enlace VPN.
Una vez inyectado, la puerta trasera, denominada J-Magic por Black Lotus Labs esta semana, reside solo en la memoria y espera pasivamente uno de los cinco paquetes de red posibles. Cuando la máquina recibe una de esas secuencias de paquetes mágicos, se establece una conexión con el remitente y la puerta trasera inicia un desafío de seguimiento. Si el remitente pasa la prueba, obtiene acceso de línea de comandos al cuadro para comandarlo.
Como explicaron Black Lotus Labs en esta nota de investigación El jueves: «Una vez que se completa ese desafío, J-Magic establece un shell inverso en el sistema de archivos local, lo que permite a los operadores controlar el dispositivo, robar datos o implementar software malicioso».
Si bien no es el primero descubierto paquete mágico (PDF) Malware, escribió el equipo: «La combinación de apuntar a los enrutadores de Junos OS que sirven como una puerta de enlace VPN y desplegar un agente pasivo de escucha en memoria, lo convierte en una confluencia interesante de la artesanía digna de más observación».
Juniper no respondió a El registroConsultas.
Black Lotus Labs dijo que vio a J-Magic en Virustotal, y los investigadores dijeron que la muestra más temprana se había subido en septiembre de 2023.
El malware crea un filtro EBPF para monitorear el tráfico a una interfaz de red especificada y un puerto, y espera hasta que reciba cualquiera de los cinco paquetes diseñados específicamente del mundo exterior. Si aparece uno de estos paquetes mágicos, descritos en el informe del laboratorio, la puerta trasera se conecta a quien envió el paquete mágico usando SSL; Envía una cadena alfanumérica aleatoria de cinco caracteres encriptada usando una clave pública RSA codificada para el remitente; Y si el remitente puede descifrar la cadena usando la mitad privada del par de claves y enviarlo de regreso a la puerta trasera para verificar, el malware comenzará a aceptar comandos a través de la conexión para ejecutar en el cuadro.
«Sospechamos que el desarrollador ha agregado este desafío de RSA para evitar que otros actores de amenazas rocían Internet con paquetes mágicos para enumerar a las víctimas y luego simplemente reutilizar a los agentes J-Magic para sus propios fines, ya que otros actores de estado-nación son conocidos por exhibir eso artesanía parásita como Turla«, Escribieron la amenaza del laboratorio.
Suponiendo que el atacante complete con éxito el desafío, tiene acceso completo al enrutador, dejando a la organización de víctimas vulnerable a un mayor compromiso.
Estas víctimas abarcan el mundo, con los investigadores que documentan empresas en los Estados Unidos, Reino Unido, Noruega, los Países Bajos, Rusia, Armenia, Brasil y Colombia. Incluyeron una empresa de fibra óptica, un fabricante de paneles solares, compañías manufactureras, incluidas dos que construyen o arrendan maquinaria pesada, y una que fabrica botes y transbordadores, además de energía, tecnología y empresas de semiconductores.
Si bien la mayoría de los dispositivos específicos eran enrutadores de enebro que actuaban como puertas de enlace VPN, un conjunto más limitado de direcciones IP específicas tenía un puerto NetConf expuesto, que se usa comúnmente para ayudar a automatizar la información y la gestión de la configuración del enrutador.
Esto sugiere que los enrutadores son parte de una flota más grande y administrada, como las de un proveedor de servicios de red, señalan los investigadores.
«Sospechamos que estos dispositivos fueron atacados para su papel central en el ecosistema de enrutamiento», agregaron. «Como enrutadores configurados con filtros de red, configuraciones, políticas, seguimiento y controles, son valiosos como objetivos para los atacantes que pueden querer pivotar o persistir dentro de un ecosistema».
Black Lotus Labs también publicó una lista completa de indicadores de compromiso, por lo que sugerimos darles una lectura sobre la tienda de seguridad Página de Github. ®
