Как хакерам удаётся контролировать сеть без малейших признаков вторжения?
Китайская кибергруппа UNC3886 взломала устаревшие маршрутизаторы MX от Juniper Networks, используя скрытые бэкдоры. Mandiant, злоумышленники применяют активные и пассивные бэкдоры, отключают логирование и сохраняют доступ в сети жертв.
UNC3886 известна с 2022 года и атаaкует сетевые устройства и виртуализацию, нацеливаясь на оборонные, технологические и телекоммуникационные компании в США и Азии. Устройства на периметре сети, как правило, не имеют мониторинга, что и позволяет действовать незаметно.
Последние атаки используют бэкдоры на основе . Они позволяют загружать и скачивать файлы, перехватывать пакеты, внедряться в процессы Junos OS и выполнять команды. Хакеры обходят защиту Junos OS Verified Exec, используя украденные учётные данные для внедрения кода в системные процессы.
Основная цель атак — отключение логирования перед подключением оператора и его восстановление после завершения работы. В дополнение к бэкдорам UNC3886 применяет руткиты Reptile и Medusa, утилиты PITHOOK (для кражи SSH-учётных данных) и GHOSTTOWN (для удаления следов атак).
Эксперты рекомендуют обновить Juniper MX до актуальных версий и использовать Juniper Malware Removal Tool (JMRT). Также важно усилить мониторинг сетевой активности и использовать средства обнаружения аномалий для предотвращения подобных атак в будущем.
Подробнее:
Китайская кибергруппа UNC3886 взломала устаревшие маршрутизаторы MX от Juniper Networks, используя скрытые бэкдоры. Mandiant, злоумышленники применяют активные и пассивные бэкдоры, отключают логирование и сохраняют доступ в сети жертв.
UNC3886 известна с 2022 года и атаaкует сетевые устройства и виртуализацию, нацеливаясь на оборонные, технологические и телекоммуникационные компании в США и Азии. Устройства на периметре сети, как правило, не имеют мониторинга, что и позволяет действовать незаметно.
Последние атаки используют бэкдоры на основе . Они позволяют загружать и скачивать файлы, перехватывать пакеты, внедряться в процессы Junos OS и выполнять команды. Хакеры обходят защиту Junos OS Verified Exec, используя украденные учётные данные для внедрения кода в системные процессы.
Основная цель атак — отключение логирования перед подключением оператора и его восстановление после завершения работы. В дополнение к бэкдорам UNC3886 применяет руткиты Reptile и Medusa, утилиты PITHOOK (для кражи SSH-учётных данных) и GHOSTTOWN (для удаления следов атак).
Эксперты рекомендуют обновить Juniper MX до актуальных версий и использовать Juniper Malware Removal Tool (JMRT). Также важно усилить мониторинг сетевой активности и использовать средства обнаружения аномалий для предотвращения подобных атак в будущем.
Подробнее:
