J-magic kampanja cilja Juniper rutere

AUTOR ·

Sigurnosni istraživači kompanije Lumen Technologies su ukazali na najnoviju prijetnju podna nazivom J-magic. Riječ je o kampanji koja cilja Juniper rutere korporativnog nivoa sa backdoor napadom koji koristi pasivnog agenta za praćenje. Fokus ove kampanje naglašava kontinuirano ciljanje rubne infrastrukture od strane zlonamjernih aktera i nacionalno sponzorisanih aktera koji se pripremaju za naknadne napade.

J-magic Juniper

J-magic kampanja cilja Juniper rutere; Source: Bing Image Creator

J-MAGIC KAMPANJA

J-magic kampanja iskorištava ranjivost poznatu kao Magic Packet u Juniper ruterima. Ova tehnika se sve više koristi protiv perimetarskih uređaja prateći korake ranijih zlonamjernog softvera kao što su BPFdoor i Symbiote. Zlonamjerni akteri aktiviraju backdoor nakon što otkriju “magični paket” sa unaprijed definisanim parametrima, omogućavajući im daljinski pristup kontrolnim uređajima.

Fokus na Juniper rutere u ovoj kampanji je vrijedan pažnje, jer pokazuje da zlonamjerni akteri mogu postići uspeh šireći svoje uticaj posljedično na drugu mrežnu opremu. Dugo vreme trajanja ovih uređaja ih čini privlačnim metama za napredne trajne prijetnje (eng. advanced persistent threat – APT) koje traže stabilnu platformu sa koje će djelovati neotkriveno. Ovaj trend, gdje zlonamjerni akteri ciljaju na perimetarsku infrastrukturu zbog nedostatka softvera za detekciju i odgovor na prijetnje (eng. endpoint detection and response – EDR) u takvim uređajima zabrinjava, jer može dovesti do značajnih poremećaja i ugrožavanja podataka.

Zlonamjerni akteri u ovoj kampanji koriste zlonamjerni softver koji je backdoor varijantu cd00r zlonamjernog softvera, neprekidno skenirajući u potrazi za određenim “magičnim paketima” u TCP saobraćaju. Kada otkrije ove magične pakete sa unaprijed definisanim parametrima, zlonamjerni akter dobija kontrolu nad uređajem, omogućavajući mu da uspostavi obrnuto komandno okruženje (eng. reverse shell), manipuliše uređajima, ukrade podatke ili primjeni dodatni zlonamjerni softver.

Prvi uzorci J-magic zlonamjernog softvera datiraju iz septembra 2023. godine, ali sigurnosni istraživači tek treba da odrede početni metod pristupa koji koriste zlonamjerni akteri. Međutim, sumnja se da su možda iskoristili ranjivost nultog dana u Juniper operativnom sistemu da bi dobili početni pristup. Ova raskrsnica, kako je opisuju sigurnosni istraživači, otvara puteve ostatku korporativne mreže, potencijalno izazivajući veliku štetu ako se ne kontroliše.

 

Funkcionisanje

Nakon instalacije na ciljanom sistemu, J-magic postavlja prošireni Berkeley paketni filter (eng. extended berkeley packet filter – eBPF) na određenim interfejsima i portovima. Ovaj filter mu omogućava da nadgleda dolazni TCP saobraćaj za pet različitih unaprijed definisanih parametara, koji se često nazivaju “magični paketi“. eBPF ekstenzija je moćna alatka koja omogućava zlonamjernom softveru da se priključi na mrežni stek inficiranog uređaja na niskom nivou. Na taj način, J-magic može presresti i analizirati sve dolazne pakete podataka bez da bude otkriven tradicionalnim mjerama bezbjednosti. Ovaj prikriveni pristup otežava i mrežnim administratorima i bezbjednosnim alatima da identifikuju prijetnju koja vreba u njihovim sistemima.

Kada se otkrije odgovarajući “magični paket”, zlonamjerni softver počinje da djeluje. Prvi backdoor korak nakon otkrivanja ovih paketa je da se preimenuje, kamuflirajući se među legitimne NFS procese. Ova promjena imena otežava mrežnim administratorima i bezbjednosnim alatima da identifikuju prijetnju koja vreba u njihovim sistemima, pošto se zlonamjerni softver sada pojavljuje kao bezopasan lokalni NFS asinhroni proces I/O servera. Jednom kada uspješno preimenuje svoj proces, J-magic poziva funkciju start_pcap_listener(). Ova funkcija inicijalizuje slušaoca za hvatanje paketa (packet capture – PCAP) koji čeka dalja uputstva sa servera zlonamjernog aktera. PCAP slušalac je dizajniran da presreće i analizira sve dolazne pakete podataka na određenom interfejsu i portu, omogućavajući zlonamjernom softveru da prikupi vrijedne informacije o obrascima mrežnog saobraćaja i potencijalnim ranjivostima unutar ciljanog sistema.

Prije uspostavljanja obrnutog komandnog okruženja, J-magic predstavlja dodatni sloj sigurnosti u vidu sekundarnog izazova. Zlonamjerni akter mora tačno da odgovori na ovaj slučajni alfanumerički niz od pet znakova šifrovan korišćenjem čvrsto kodiranog javnog RSA ključa da bi dobio backdoor pristup. Ova tehnika šifrovanja obezbjeđuje da samo određeni zlonamjerni akter može da zaobiđe odbranu zlonamjernog softvera i uspostavi vezu sa inficiranim sistemom. Kada je izazov uspješno odgovoren, J-magic kreira obrnuto komandno okruženje, otvarajući tako backdoor dostupnom sa servera zlonamjernog aktera. Ovaj backdoor omogućava zlonamjernom akteru da izvrši proizvoljne komande na kompromitovanom uređaju, dajući mu potpunu kontrolu nad njim za potencijalnu krađu podataka ili dalje zlonamjerne aktivnosti.

 

Uticaj na korisnike

Potencijalni uticaj J-magic napada može biti katastrofalno štetan za pogođene organizacije. Uspješnim kompromitovanjem rubne infrastrukture, posebno Juniper rutera koji djeluju kao VPN mrežni prolaz (eng. gateway) , zlonamjerni akteri dobijaju neovlašteni pristup sistemima jezgre mreže ciljanih organizacija. Ovaj početni upad služi kao odskočna daska za dalju infiltraciju i eksploataciju, što može dovesti do nekoliko negativnih ishoda:

  • Ugrožavanje podataka: Sa duboko ukorenjenim pristupom unutar korporativnih mreža, zlonamjerni akteri mogu lako da se kreću kroz razna skladišta podataka, otkrivajući osjetljive informacije kao što su poslovne tajne, detalji o klijentima, finansijski zapisi i vlasenička intelektualna svojina. Ovo neovlašteno otkrivanje povjerljivih podataka može dovesti do značajne štete po reputaciju, pravnih posljedica i potencijalnog gubitka poslovnih prilika za pogođene organizacije;
  • Krađa intelektualne svojine: Pored ugrožavanja podataka, zlonamjerni akteri mogu ciljati i vrijedna intelektualna svojstva kao što su patenti, rezultati istraživanja ili dizajn proizvoda. Ova krađa može pružiti konkurentima značajnu prednost u smislu tržišnog pozicioniranja, inovacija i ukupnog rasta poslovanja. Štaviše, gubitak ovih sredstava može da ometa sposobnost organizacije da razvija nove proizvode, usluge ili tehnologije, što na kraju utiče na njenu dugoročnu održivost i konkurentnost;
  • Poremećaji sistema: Dobijanjem kontrole nad kritičnim komponentama mrežne infrastrukture kao što su ruteri, zlonamjerni akteri mogu poremetiti osnovne usluge kao što su komunikacija putem elektronske pošte, pristup internetu, ili čak cjelokupnu IT infrastrukturu organizacije. Ovaj poremećaj može dovesti do značajnog zastoja, gubitka produktivnosti i finansijskih gubitaka zbog odloženih operacija ili propuštenih poslovnih prilika;
  • Postojani napadi: Dugo vreme rada rubnih uređaja kao što su ruteri čini ih privlačnim metama za postojane napade, jer često ostaju nezakrpljeni ili nedovoljno zaštićeni. Jednom kompromitovani, zlonamjerni akteri mogu da zadrže uporište u mreži i pokrenu naknadne napade kada im odgovara, uzrokujući dalju štetu organizaciji tokom dužeg perioda;
  • Poremećaji lanca snabdijevanja: U nekim slučajevima, pogođene organizacije mogu biti dio većih lanaca snabdijevanja koji se oslanjaju na njihove proizvode ili usluge. Uspješan napad na ove rubne uređaje može dovesti do poremećaja u cjelokupnom lancu snabdijevanja, utičući na više preduzeća i potencijalno izazivajući široko rasprostranjene ekonomske posljedice;
  • Finansijski gubici: Gore navedeni negativni ishodi mogu rezultirati značajnim finansijskim gubicima za pogođene organizacije. To može uključivati direktne troškove vezane za oporavak podataka, popravke sistema, pravne takse i potencijalne novčane kazne ili kazne zbog neusklađenosti sa propisima. Indirektni troškovi kao što su izgubljene poslovne prilike, oštećenje reputacije i smanjeno povjerenje kupaca takođe mogu značajno doprijeti ukupnom finansijskom uticaju uspješnog napada;
  • Operativni poremećaji: Osim poremećaja sistema, napad na ivičnu infrastrukturu poput rutera može dovesti do operativnih poremećaja unutar pogođenih organizacija. Ovo može uključivati kašnjenja u komunikaciji, poteškoće u koordinaciji napora između odjeljenja ili lokacija i izazove u održavanju kontinuiteta poslovanja tokom procesa oporavka;
  • Pitanja usklađenosti sa propisima: U mnogim industrijama postoje strogi propisi koji regulišu privatnost podataka, bezbjednost i zaštitu intelektualne svojine. Uspješan napad na rubnu infrastrukturu može dovesti do nepoštovanja ovih propisa, što rezultira novčanim kaznama, ili čak pravnim postupcima protiv pogođene organizacije;
  • Dugoročni uticaj na poslovnu strategiju: Posljedice uspješnog napada na rubnu infrastrukturu mogu imati dugotrajne efekte na poslovnu strategiju organizacije. Ovo može uključivati promjene u IT bezbjednosnim politikama i procedurama, povećano ulaganje u mjere sajber bezbjednosti i promjene u ukupnim strategijama upravljanja rizikom radi bolje zaštite od budućih napada;
  • Potencijal za naknadne napade: J-magic kampanja pokazuje da zlonamjerni akteri mogu proširiti svoje ciljanje izvan tradicionalne mrežne opreme na druge tipove uređaja kao što su ruteri korporativnog nivoa. Ovo proširenje naglašava potrebu da organizacije ostanu budne i proaktivne u zaštiti svih aspekata svoje IT infrastrukture, jer uspješan napad na jednu komponentu može poslužiti kao odskočna daska za dalje upade u mrežu;

Treba imati na umu da se J-magic kampanja prvenstveno fokusirala na organizacije koje koriste Juniper rutere kao VPN mrežne prolaze. Otprilike 50% ciljanih uređaja služi ovoj funkciji, što ih čini glavnom metom za zlonamjerne aktere koji žele da se neotkriveno infiltriraju u korporativne mreže. Sposobnost zlonamjernog softvera da se stopi sa legitimnim procesima otežava otkrivanje i uklanjanje, povećavajući potencijalnu štetu koju može da izazove.

Geografski domet kampanje J-magic kampanje je ogroman, sa prijavljenim infekcijama širom Evrope, Azije i Južne Amerike. Zemlje kao što su Argentina, Jermenija, Brazil, Čile, Kolumbija, Indonezija, Holandija, Norveška, Peru, Ujedinjeno Kraljevstvo, Sjedinjene Američke Države i Venecuela su pogođene ovim zlonamjernim softverom. Kako svijest o ovoj tehnici napada raste, vjerovatno će biti prijavljeno više infekcija, povećavajući potencijal za široko rasprostranjenu štetu.

 

ZAKLJUČAK

Ovaj najnoviji napad, koji cilja Juniper rutere koristeći prilagođeni backdoor i iskorištava Magic Packet ranjivost, nije izolovan incident, već je nastavak serije napada koji su koristili slične taktike protiv perimetarskih uređaja. Prethodni slučajevi takvih napada uključuju BPFdoor i Symbiote, koji su takođe koristili Magic Packet ranjivost da bi dobili neovlašteni pristup rubnoj infrastrukturi. Sve veća rasprostranjenost ove vrste napada stvara značajne izazove za branioce zbog njegove skrivene prirode, što otežava otkrivanje i efikasno reagovanje.

Uspeh ovih kampanja može se pripisati nekoliko faktora. Prvo, dugo vreme trajanja perimetarskih uređaja kao što su ruteri čini ih privlačnim metama za zlonamjerne aktere koji traže postojane pristupne tačke mreži. Drugo, nedostatak softvera za detekciju i odgovor na prijetnje (EDR) u takvim uređajima, što dodatno komplikuje napore da se otkriju i ublaže ove prijetnje.

J-magic kampanja je vrijedna pažnje, jer pokazuje da zlonamjerni akteri proširuju svoj ciljni obim izvan tradicionalne mrežne opreme kako bi uključili rutere korporativnog nivoa kao što je Juniper. Ovo proširenje naglašava potrebu da organizacije budu budne u obezbjeđivanju svih uređaja na svojoj mreži, posebno onih koji služe kao kritične ulazne tačke kao što su rubna infrastruktura i VPN mrežni prolazi. Postavljanje ovih ciljanih uređaja predstavlja raskrsnicu, otvarajući puteve ostatku korporativne mreže. Zbog toga je za organizacije je od ključnog značaja da daju prioritet obezbjeđivanju ovih uređaja od prijetnji kao što je J-magic.

Zaštita se može postići redovnim ažuriranjima, jakim politikama lozinki i primjenom robusnih bezbjednosnih mjera dizajniranih posebno za rubnu infrastrukturu. Davanjem prioriteta bezbjednosti perimetarskih uređaja kao što su ruteri, organizacije mogu značajno da smanje svoju izloženost riziku i bolje zaštite svoje mreže od sofisticiranih napada kao što je J-magic.

 

ZAŠTITA

Suočeni sa eskalacijom sajber prijetnje koju predstavlja J-magic kampanja koja cilja Juniper rutere korporativnog nivoa, ključno je za mrežne administratore i profesionalce u bezbjednosti da primjene robusne odbrambene mjere. U nastavku će biti navedene korisne preporuke koje imaju za cilj jačanje mrežne infrastrukture od ovog sofisticiranog napada:

  1. Ažuriranje uređaja najnovijim softverskim ispravkama je od suštinskog značaja za ublažavanje ranjivosti koje bi zlonamjerni akteri mogli da iskoriste. Uvjeriti se da svi Juniper ruteri pokreću najnovije verzije upravljačkog softvera (eng. firmware) i odmah respektivno primijeniti sva dostupna bezbjednosna ažuriranja;
  2. Primijeniti segmentaciju mreže da bi se izolovala kritična infrastruktura od manje osjetljivih oblasti, čime se ograničava mogućnost zlonamjernog aktera da se kreće bočno (eng. lateral movement) unutar mreže u slučaju proboja. Ovo se može postići korišćenjem virtuelnih lokalnih mreža (eng. virtual local area networksVLAN) ili zaštitnih zidova za kreiranje logičkih granica između različitih dijelova mreže;
  3. Ojačati bezbjednosni položaj krajnje tačke primjenom softvera za detekciju i odgovor na prijetnje (EDR) koji prate ponašanje uređaja u slučaju anomalija, otkrivaju potencijalne prijetnje i odgovaraju na odgovarajući način. Ovo će pomoći u ranom otkrivanju prijetnji i omogućiti brze akcije sanacije kako bi se spriječilo dalje kompromitovanje Juniper rutera;
  4. Postavite sisteme za otkrivanje upada (eng. intrusion detection systems – IDS) na ključnim tačkama unutar mreže kako bi se pratili sumnjivi obrasci saobraćaja ili poznati pokazatelji kompromitovanja koji su povezani sa kampanjom J-magic zlonamjernog softvera. Ovo će pomoći u ranom otkrivanju prijetnji i omogućiti brze akcije reagovanja kako bi se spriječila eventualna ugrožavanja;
  5. Primijeniti stroge smjernice za kontrolu pristupa mreži koje ograničavaju ko može da pristupi Juniper ruterima, šta mogu da rade kada se povežu i odakle mogu da se povežu. Ovo uključuje korišćenje jakih lozinki, autentifikaciju u više koraka (eng. multi-factor authentication – MFA) i principe najmanje privilegija kako bi se smanjila površina napada;
  6. Imajući u vidu centralnu ulogu magičnih paketa u kampanji J-magic zlonamjernog softvera, od suštinskog je značaja nadgledati mrežni saobraćaj u slučaju bilo kakve sumnjive upotrebe ovih paketa. Ovo se može postići primjenom sistema za sprečavanje upada (eng. intrusion prevention systems – IPS) ili alata za analizu ponašanja mreže koji su sposobni da otkriju i blokiraju takvu aktivnost;
  7. Implementirati rješenje za upravljanje bezbjednosnim informacijama i događajima (eng. security information and event management – SIEM) za prikupljanje, analizu i korelaciju bezbjednosnih podataka iz različitih izvora širom mrežne infrastrukture. Ovo će pomoći u bržem identifikovanju potencijalnih prijetnji i omogućiti proaktivne akcije reagovanja kako bi se ublažila sva potencijalna ugrožavanja;
  8. Razvijati plan odgovora na sajber prijetnju koji navodi korake koje treba preduzeti kada dođe do sajber bezbjednosnog događaja, uključujući otkrivanje, obuzdavanje, iskorjenjivanje, oporavak i naučene lekcije. Ovo će pomoći u obezbjeđivanju brzog i efikasnog odgovora na svaki potencijalni upad u kampanji J-magic zlonamjernog softvera;
  9. Obrazovati zaposlene o važnosti najboljih praksi za sajber bezbjednost, kao što su jake lozinke, svest o phishing napadima i navike bezbjednog pregledanja. Redovne sesije obuke mogu pomoći da se samnji ljudska greška koja bi mogla nenamjerno da olakša uspješan napad na Juniper rutere;
  10. Sarađivati sa drugim organizacijama i platformama za dijeljenje informacija da kako bi se informisalo o najnovijim prijetnjama, uključujući kampanju J-magic zlonamjernog softvera. Ovo će omogućiti da se prilagode odbrambene mjere u skladu sa dostupnim informacijama i čime se stvara mogućnost da se ostane korak ispred potencijalnih zlonamjernog aktera.

Primjenom ovih preporuka, mrežni administratori mogu značajno da smanje svoju izloženost kampanji J-magic zlonamjernog softvera koja cilja Juniper rutere korporativnog nivoa. Proaktivan pristup odbrani u sajber bezbjednosti je od suštinskog značaja u današnjem sve složenijem okruženju prijetnji.

Tags:

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.