Google’ın Mantiant’taki siber güvenlik araştırmacıları, 2024’ün ortalarında Junos OS işletim sistemini çalıştıran ardıç yönlendiricilerini hedefleyen bir dizi saldırı ortaya koydu. UNC3886 olarak bilinen bir Çin hackleme grubuna bağlı olan bu saldırılar, algılamadan kaçınırken cihazları gizlice kontrol etmek için tasarlanmış özel yapım kötü amaçlı yazılımların ekilmesini içeriyordu.
Ne oldu?
Mantiant’ın soruşturması, UNC3886’nın, modası geçmiş donanım ve yazılım çalıştıran Juniper MX yönlendiricileri üzerinde meşru sistem süreçleri olarak gizlenmiş backdoors kullandığını ortaya koydu. Yaşam sonu (EOL) konfigürasyonlarını kullanan bu yönlendiriciler, güvenlik sistemlerindeki güvenlik açıkları nedeniyle daha kolay hedeflerdi. Kötü amaçlı yazılım, algılamayı önlemek için bir dosya bütünlüğü monitörü olan Junos Os’un Verixec’i kullandı. Verixec’i devre dışı bırakmak yerine, saldırganlar kötü amaçlı kodları meşru süreçlere enjekte etti
Şirketin Çarşamba günü yayınlanmadan önce Hackread.com ile paylaşılan blog yazısına göre, bu arka kapılar Tinyshell adlı halka açık bir hackleme aracının temeli üzerine inşa edildi.
Bu saldırıları özellikle endişe verici kılan şey, bilgisayar korsanlarının ardıç ortamına entegre olmak için kötü amaçlı yazılımlarını nasıl özelleştirmeleridir. Kötü niyetli programlar, meşru sistem süreçleri olarak gizlendi ve “appid”(Gerçek bir ardıç sürecinde bir oyun) Şüphe yükseltmekten kaçınmak için. Stealth’in ötesinde, kötü amaçlı yazılım, yönlendiriciler üzerinde günlüğe kaydedilmeyi devre dışı bırakmak, saldırganların faaliyetlerinin izlerini etkili bir şekilde silmek ve güvenlik ekiplerinin saldırı tespit etmesini zorlaştırmak için özellikler içeriyordu.
Saldırılarını gerçekleştirmek için, bilgisayar korsanları Junos OS’nin iç işleyişinden, Juniper’ın yönlendiricilerini ve diğer ağ ekipmanlarını güçlendiren işletim sistemi kullandı. Junos OS, UNIX benzeri bir sistem olan FreeBSD’nin değiştirilmiş bir sürümü üzerine inşa edilmiştir ve onunla etkileşime girmenin iki yolunu sunar: standart işlemler için bir komut satırı arayüzü (CLI) ve temel sisteme daha derin erişim sağlayan bir kabuk modu. Saldırganlar bu kabuk modunu kötü amaçlı komutlarını yürütmek için kullandılar.
Bilgisayar korsanları bunu nasıl gerçekleştirdi?
Saldırganlar, yönlendirici yönetimi arayüzlerine sızmak için çalıntı kimlik bilgilerini kullanarak erişim kazandı. İçeri girdikten sonra, kötü amaçlı yazılımları meşru süreçlere enjekte ettiler, örneğin cat komuta, adlandırılmış boruları ve bellek manipülasyonundan yararlanarak Kaçınma Tespit.
Pistlerini kapsamak için, bazı backdoors devre dışı bırakma işlevlerini devre dışı bırakarak, varlıklarının kanıtlarını etkili bir şekilde siler. Örneğin, lmpad Arka kapı değiştirilmiş sistem günlüklerini ve devre dışı SNMP uyarılarını değiştirerek savunucuların yetkisiz erişimi tespit etmesini önemli ölçüde zorlaştırır.
Kötü Yazılım Araç Seti
UNC3886, hepsi açık kaynaklı Tinyshell çerçevesinden türetilmiş ancak özellikle Junos OS için uyarlanmış altı özelleştirilmiş arka kapı kullandı. Her varyantın benzersiz işlevleri vardı:
- müstehcen Ve ile: Bunlar, saldırganların dosyaları yüklemesine/indirmesine, kabuk komutlarını yürütmesine ve vekiller aracılığıyla trafiği yönlendirmesine olanak tanıyan, sabit kodlu komut ve kontrol (C2) sunucularına sahip etkin arka planlardı.
- söz: Ağ trafiğinde belirli “sihirli dizeler” tarafından tetiklenene kadar uykuda kalan pasif bir arka kapı. Etkinleştirildikten sonra, uzak kabukları veya röle bağlantılarını başlatabilir.
- lmppad: Bu hibrit arka kapı hem arka kapı hem de gizli bir araç olarak hareket etti. Denetim günlüklerinin kötü niyetli etkinlik kaydetmesini önlemek için günlüğü, değiştirilmiş sistem dosyalarını ve yamalı bellek devre dışı bırakır.
- JDOSD Ve oemd: Bu pasif arka kapılar şifreli kullanılmış UDP/TCP kanalları Gizli dosya transferleri ve uzaktan komut yürütme için, algılamayı daha da zorlaştırır.
UNC3886 Hakkında
UNC3886, genellikle daha önce bilinmeyen güvenlik açıklarını kullanan, ağ cihazlarını ve sanallaştırma teknolojilerini hedefleme kaydına sahip iyi bilinen bir hack grubudur ( sıfır gün istismarları). Grubun ana odağı, özellikle ABD ve Asya’da savunma, teknoloji ve telekomünikasyon gibi endüstrilere karşı casusluk yapmaktır.
Diğer Çin hackleme kampanyaları gibi gruplara atfedilenler gibi Volt Typhoon veya Tuz tayfasımanşetler yaptım, Mantiant UNC3886 faaliyetleri ile bu operasyonlar arasında doğrudan teknik bağlantı bulamadı. Bu, UNC3886’nın kendi araçları ve stratejileri ile çalışan farklı bir tehdit olduğunu göstermektedir.
Bu neden önemli?
Yönlendiriciler ve diğer ağ cihazları, trafiği yöneten ve kuruluşlar arasında bağlantı sistemlerini yönlendiren modern BT altyapısının belkemiğidir. Ancak dizüstü bilgisayarlardan veya sunuculardan farklı olarak, bu cihazlar genellikle uygun güvenlik izleme araçlarından yoksundur ve bu da onları saldırganlar için çekici hedefler haline getirir. Bir kez tehlikeye atıldıktan sonra, bir yönlendirici tüm ağa bir ağ geçidi sağlayabilir ve bilgisayar korsanlarının iletişimleri gözetlemelerine, verileri çalmasına veya daha fazla saldırı başlatmasına izin verebilir.
UNC3886’nın eski, desteklenmeyen ardıç cihazlarını hedeflemesi, bütçe kısıtlamaları veya gözetim nedeniyle kaç kuruluşun modası geçmiş ekipmanlara güvenmeye devam ettiği gibi başka bir konuyu vurgulamaktadır. Bu sistemler Oturan Ördekler Yetenekli saldırganlar için, artık yeni keşfedilen güvenlik açıkları için yamalar almadıkları için.
Kuruluşlar ne yapmalı?
Mantiant ve Juniper Networks konuyu ele almak için birlikte çalıştılar ve kuruluşların kendilerini korumak için atabilecekleri adımları belirttiler:
- Cihazları Yükselt: Yaşam sonu ardıç donanımı ve yazılımını desteklenen sürümlerle değiştirin. Juniper, düzeltmeler ve geliştirilmiş algılama özellikleri içeren güncellenmiş yazılım görüntüleri yayınladı.
- Güvenlik taramalarını çalıştırın: Yükseltildikten sonra cihazlarınızda hızlı bir tarama ve bütünlük kontrolü yapmak için Juniper’ın Kötü Yazılım Kaldırma Aracı (JMRT) kullanın. Bu, kötü amaçlı programların tanımlanmasına ve kaldırılmasına yardımcı olabilir.
- Ağları izleyin ve sertleştirin: Saldırganlar günlüğü devre dışı bırakmaya çalışsa bile, erişimi sınırlandırarak, güçlü kimlik doğrulaması kullanarak ve olağandışı etkinlik için günlükleri düzenli olarak inceleyerek ağ cihazları etrafındaki güvenliği güçlendirin.
- Bilgilendirilmiş kalın: Juniper gibi satıcıların güvenlik danışmanlarına ayak uydurun ve Maniant gibi siber güvenlik firmalarının ortaya çıkan tehditlerin önünde kalmak için raporlar.