{"id":7637,"date":"2025-02-01T18:45:07","date_gmt":"2025-02-01T17:45:07","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=7637"},"modified":"2025-02-01T18:45:07","modified_gmt":"2025-02-01T17:45:07","slug":"j-magic-kampanja-cilja-juniper-rutere","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2025\/02\/01\/j-magic-kampanja-cilja-juniper-rutere\/","title":{"rendered":"J-magic kampanja cilja Juniper rutere"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\">Sigurnosni istra\u017eiva\u010di kompanije <em>Lumen<\/em> <em>Technologies<\/em> su <a href=\"https:\/\/blog.lumen.com\/the-j-magic-show-magic-packets-and-where-to-find-them\/\" target=\"_blank\" rel=\"noopener\">ukazali na najnoviju prijetnju podna nazivom <em>J-magic<\/em><\/a>. Rije\u010d je o kampanji koja cilja <em>Juniper<\/em> rutere korporativnog nivoa sa <a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/11\/backdoor\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>backdoor<\/em> <\/a>napadom koji koristi pasivnog agenta za pra\u0107enje. Fokus ove kampanje nagla\u0161ava kontinuirano ciljanje rubne infrastrukture od strane <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/19\/hakeri-crni-sesiri-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernih aktera<\/a> i nacionalno sponzorisanih aktera koji se pripremaju za naknadne napade.<\/span><\/p>\n<div id=\"attachment_7638\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-7638\" class=\"size-full wp-image-7638\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/02\/J-magic-Juniper-Routers.jpg\" alt=\"J-magic Juniper\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/02\/J-magic-Juniper-Routers.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/02\/J-magic-Juniper-Routers-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/02\/J-magic-Juniper-Routers-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/02\/J-magic-Juniper-Routers-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/02\/J-magic-Juniper-Routers-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/02\/J-magic-Juniper-Routers-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/02\/J-magic-Juniper-Routers-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-7638\" class=\"wp-caption-text\"><em>J-magic kampanja cilja Juniper rutere; Source: Bing Image Creator<\/em><\/p><\/div>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewbox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewbox=\"0 0 24 24\" version=\"1.2\" baseprofile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/sajberinfo.com\/en\/2025\/02\/01\/j-magic-kampanja-cilja-juniper-rutere\/#J-MAGIC_KAMPANJA\">J-MAGIC KAMPANJA<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/sajberinfo.com\/en\/2025\/02\/01\/j-magic-kampanja-cilja-juniper-rutere\/#Funkcionisanje\">Funkcionisanje<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/sajberinfo.com\/en\/2025\/02\/01\/j-magic-kampanja-cilja-juniper-rutere\/#Uticaj_na_korisnike\">Uticaj na korisnike<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/sajberinfo.com\/en\/2025\/02\/01\/j-magic-kampanja-cilja-juniper-rutere\/#ZAKLJUCAK\">ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/sajberinfo.com\/en\/2025\/02\/01\/j-magic-kampanja-cilja-juniper-rutere\/#ZASTITA\">ZA\u0160TITA<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2><span class=\"ez-toc-section\" id=\"J-MAGIC_KAMPANJA\"><\/span><strong><em>J-MAGIC<\/em> KAMPANJA<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>J-magic<\/em> kampanja iskori\u0161tava ranjivost poznatu kao <em>Magic<\/em> <em>Packet<\/em> u <em>Juniper<\/em> ruterima. Ova tehnika se sve vi\u0161e koristi protiv perimetarskih ure\u0111aja prate\u0107i korake ranijih <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernog softvera<\/a> kao \u0161to su <a href=\"https:\/\/sajberinfo.com\/en\/2023\/05\/15\/linux-bpfdoor-backdoor\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>BPFdoor<\/em><\/a> i <em>Symbiote<\/em>. Zlonamjerni akteri aktiviraju <em>backdoor<\/em> nakon \u0161to otkriju \u201c<em>magi\u010dni paket<\/em>\u201d sa unaprijed definisanim parametrima, omogu\u0107avaju\u0107i im daljinski pristup kontrolnim ure\u0111ajima.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Fokus na <em>Juniper<\/em> rutere u ovoj kampanji je vrijedan pa\u017enje, jer pokazuje da zlonamjerni akteri mogu posti\u0107i uspeh \u0161ire\u0107i svoje uticaj posljedi\u010dno na drugu mre\u017enu opremu. Dugo vreme trajanja ovih ure\u0111aja ih \u010dini privla\u010dnim metama za <a href=\"https:\/\/sajberinfo.com\/en\/2020\/12\/08\/apt-sponzorisani-napadi\/\" target=\"_blank\" rel=\"nofollow noopener\">napredne trajne prijetnje<\/a> (eng. <em>advanced persistent threat \u2013 APT<\/em>) koje tra\u017ee stabilnu platformu sa koje \u0107e djelovati neotkriveno. Ovaj trend, gdje zlonamjerni akteri ciljaju na perimetarsku infrastrukturu zbog nedostatka softvera za detekciju i odgovor na prijetnje (eng. <em>endpoint detection and response \u2013 EDR<\/em>) u takvim ure\u0111ajima zabrinjava, jer mo\u017ee dovesti do zna\u010dajnih poreme\u0107aja i ugro\u017eavanja podataka.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Zlonamjerni akteri u ovoj kampanji koriste zlonamjerni softver koji je <em>backdoor<\/em> varijantu <em>cd00r<\/em> zlonamjernog softvera, neprekidno skeniraju\u0107i u potrazi za odre\u0111enim \u201c<em>magi\u010dnim paketima<\/em>\u201d u <em>TCP<\/em> saobra\u0107aju. Kada otkrije ove magi\u010dne pakete sa unaprijed definisanim parametrima, zlonamjerni akter dobija kontrolu nad ure\u0111ajem, omogu\u0107avaju\u0107i mu da uspostavi obrnuto komandno okru\u017eenje (eng. <em>reverse<\/em> <em>shell<\/em>), manipuli\u0161e ure\u0111ajima, ukrade podatke ili primjeni dodatni zlonamjerni softver.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Prvi uzorci <em>J-magic<\/em> zlonamjernog softvera datiraju iz septembra 2023. godine, ali <a href=\"https:\/\/sajberinfo.com\/en\/2022\/02\/27\/hakeri-eticki-hakeri-epizoda-2\/\" target=\"_blank\" rel=\"nofollow noopener\">sigurnosni istra\u017eiva\u010di<\/a> tek treba da odrede po\u010detni metod pristupa koji koriste zlonamjerni akteri. Me\u0111utim, sumnja se da su mo\u017eda iskoristili ranjivost <a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/11\/zero-day\/\" target=\"_blank\" rel=\"nofollow noopener\">nultog dana<\/a> u <em>Juniper<\/em> operativnom sistemu da bi dobili po\u010detni pristup. Ova raskrsnica, kako je opisuju sigurnosni istra\u017eiva\u010di, otvara puteve ostatku korporativne mre\u017ee, potencijalno izazivaju\u0107i veliku \u0161tetu ako se ne kontroli\u0161e.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Funkcionisanje\"><\/span><strong>Funkcionisanje<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Nakon instalacije na ciljanom sistemu, <em>J-magic<\/em> postavlja pro\u0161ireni <em>Berkeley<\/em> paketni filter (eng. <em>extended berkeley packet filter \u2013 eBPF<\/em>) na odre\u0111enim interfejsima i portovima. Ovaj filter mu omogu\u0107ava da nadgleda dolazni <em>TCP<\/em> saobra\u0107aj za pet razli\u010ditih unaprijed definisanih parametara, koji se \u010desto nazivaju \u201c<em>magi\u010dni paketi<\/em>\u201c. <em>eBPF<\/em> ekstenzija je mo\u0107na alatka koja omogu\u0107ava zlonamjernom softveru da se priklju\u010di na mre\u017eni stek inficiranog ure\u0111aja na niskom nivou. Na taj na\u010din, <em>J-magic<\/em> mo\u017ee presresti i analizirati sve dolazne pakete podataka bez da bude otkriven tradicionalnim mjerama bezbjednosti. Ovaj prikriveni pristup ote\u017eava i mre\u017enim administratorima i bezbjednosnim alatima da identifikuju prijetnju koja vreba u njihovim sistemima.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Kada se otkrije odgovaraju\u0107i \u201c<em>magi\u010dni paket<\/em>\u201d, zlonamjerni softver po\u010dinje da djeluje. Prvi <em>backdoor <\/em>korak nakon otkrivanja ovih paketa je da se preimenuje, kamufliraju\u0107i se me\u0111u legitimne <em>NFS<\/em> procese. Ova promjena imena ote\u017eava mre\u017enim administratorima i bezbjednosnim alatima da identifikuju prijetnju koja vreba u njihovim sistemima, po\u0161to se zlonamjerni softver sada pojavljuje kao bezopasan lokalni <em>NFS<\/em> asinhroni proces <em>I\/O<\/em> servera. Jednom kada uspje\u0161no preimenuje svoj proces, <em>J-magic<\/em> poziva funkciju <em>start_pcap_listener()<\/em>. Ova funkcija inicijalizuje slu\u0161aoca za hvatanje paketa (<em>packet capture \u2013 PCAP<\/em>) koji \u010deka dalja uputstva sa servera zlonamjernog aktera. <em>PCAP<\/em> slu\u0161alac je dizajniran da presre\u0107e i analizira sve dolazne pakete podataka na odre\u0111enom interfejsu i portu, omogu\u0107avaju\u0107i zlonamjernom softveru da prikupi vrijedne informacije o obrascima mre\u017enog saobra\u0107aja i potencijalnim ranjivostima unutar ciljanog sistema.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Prije uspostavljanja obrnutog komandnog okru\u017eenja, <em>J-magic<\/em> predstavlja dodatni sloj sigurnosti u vidu sekundarnog izazova. Zlonamjerni akter mora ta\u010dno da odgovori na ovaj slu\u010dajni alfanumeri\u010dki niz od pet znakova <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/20\/enkripcija-podataka-istorija-i-osnove-epizoda-1\/\" target=\"_blank\" rel=\"nofollow noopener\">\u0161ifrovan<\/a> kori\u0161\u0107enjem \u010dvrsto kodiranog javnog <em>RSA<\/em> klju\u010da da bi dobio <em>backdoor <\/em>pristup. Ova tehnika <a href=\"https:\/\/sajberinfo.com\/en\/2022\/04\/10\/enkripcija-podataka-funkcionisanje-i-vrste-epizoda-2\/\" target=\"_blank\" rel=\"nofollow noopener\">\u0161ifrovanja<\/a> obezbje\u0111uje da samo odre\u0111eni zlonamjerni akter mo\u017ee da zaobi\u0111e odbranu zlonamjernog softvera i uspostavi vezu sa inficiranim sistemom. Kada je izazov uspje\u0161no odgovoren, <em>J-magic<\/em> kreira obrnuto komandno okru\u017eenje, otvaraju\u0107i tako <em>backdoor<\/em> dostupnom sa servera zlonamjernog aktera. Ovaj <em>backdoor<\/em> omogu\u0107ava zlonamjernom akteru da izvr\u0161i proizvoljne komande na kompromitovanom ure\u0111aju, daju\u0107i mu potpunu kontrolu nad njim za potencijalnu kra\u0111u podataka ili dalje zlonamjerne aktivnosti.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Uticaj_na_korisnike\"><\/span><strong>Uticaj na korisnike<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Potencijalni uticaj <em>J-magic<\/em> napada mo\u017ee biti katastrofalno \u0161tetan za pogo\u0111ene organizacije. Uspje\u0161nim kompromitovanjem rubne infrastrukture, posebno <em>Juniper<\/em> rutera koji djeluju kao <a href=\"https:\/\/sajberinfo.com\/en\/2021\/10\/17\/vpn-sigurno-mrezno-povezivanje\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>VPN<\/em> <\/a>mre\u017eni prolaz (eng. <em>gateway<\/em>) , zlonamjerni akteri dobijaju neovla\u0161teni pristup sistemima jezgre mre\u017ee ciljanih organizacija. Ovaj po\u010detni upad slu\u017ei kao odsko\u010dna daska za dalju infiltraciju i eksploataciju, \u0161to mo\u017ee dovesti do nekoliko negativnih ishoda:<\/span><\/p>\n<ul>\n<li><span style=\"font-size: 14pt;\"><strong>Ugro\u017eavanje podataka:<\/strong> Sa duboko ukorenjenim pristupom unutar korporativnih mre\u017ea, zlonamjerni akteri mogu lako da se kre\u0107u kroz razna skladi\u0161ta <a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/16\/podaci-uvod-epizoda-1\/\" target=\"_blank\" rel=\"nofollow noopener\">podataka<\/a>, otkrivaju\u0107i osjetljive informacije kao \u0161to su poslovne tajne, detalji o klijentima, finansijski zapisi i vlaseni\u010dka intelektualna svojina. Ovo neovla\u0161teno otkrivanje povjerljivih podataka mo\u017ee dovesti do zna\u010dajne \u0161tete po reputaciju, pravnih posljedica i potencijalnog gubitka poslovnih prilika za pogo\u0111ene organizacije;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><strong>Kra\u0111a intelektualne svojine:<\/strong> Pored ugro\u017eavanja podataka, zlonamjerni akteri mogu ciljati i vrijedna intelektualna svojstva kao \u0161to su patenti, rezultati istra\u017eivanja ili dizajn proizvoda. Ova kra\u0111a mo\u017ee pru\u017eiti konkurentima zna\u010dajnu prednost u smislu tr\u017ei\u0161nog pozicioniranja, inovacija i ukupnog rasta poslovanja. \u0160tavi\u0161e, gubitak ovih sredstava mo\u017ee da ometa sposobnost organizacije da razvija nove proizvode, usluge ili tehnologije, \u0161to na kraju uti\u010de na njenu dugoro\u010dnu odr\u017eivost i konkurentnost;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><strong>Poreme\u0107aji sistema:<\/strong> Dobijanjem kontrole nad kriti\u010dnim komponentama mre\u017ene infrastrukture kao \u0161to su ruteri, zlonamjerni akteri mogu poremetiti osnovne usluge kao \u0161to su komunikacija putem elektronske po\u0161te, pristup internetu, ili \u010dak cjelokupnu <em>IT<\/em> infrastrukturu organizacije. Ovaj poreme\u0107aj mo\u017ee dovesti do zna\u010dajnog zastoja, gubitka produktivnosti i finansijskih gubitaka zbog odlo\u017eenih operacija ili propu\u0161tenih poslovnih prilika;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><strong>Postojani napadi:<\/strong> Dugo vreme rada rubnih ure\u0111aja kao \u0161to su ruteri \u010dini ih privla\u010dnim metama za postojane napade, jer \u010desto ostaju nezakrpljeni ili nedovoljno za\u0161ti\u0107eni. Jednom kompromitovani, zlonamjerni akteri mogu da zadr\u017ee upori\u0161te u mre\u017ei i pokrenu naknadne napade kada im odgovara, uzrokuju\u0107i dalju \u0161tetu organizaciji tokom du\u017eeg perioda;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><strong>Poreme\u0107aji lanca snabdijevanja:<\/strong> U nekim slu\u010dajevima, pogo\u0111ene organizacije mogu biti dio ve\u0107ih lanaca snabdijevanja koji se oslanjaju na njihove proizvode ili usluge. Uspje\u0161an napad na ove rubne ure\u0111aje mo\u017ee dovesti do poreme\u0107aja u cjelokupnom lancu snabdijevanja, uti\u010du\u0107i na vi\u0161e preduze\u0107a i potencijalno izazivaju\u0107i \u0161iroko rasprostranjene ekonomske posljedice;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><strong>Finansijski gubici:<\/strong> Gore navedeni negativni ishodi mogu rezultirati zna\u010dajnim finansijskim gubicima za pogo\u0111ene organizacije. To mo\u017ee uklju\u010divati direktne tro\u0161kove vezane za oporavak podataka, popravke sistema, pravne takse i potencijalne nov\u010dane kazne ili kazne zbog neuskla\u0111enosti sa propisima. Indirektni tro\u0161kovi kao \u0161to su izgubljene poslovne prilike, o\u0161te\u0107enje reputacije i smanjeno povjerenje kupaca tako\u0111e mogu zna\u010dajno doprijeti ukupnom finansijskom uticaju uspje\u0161nog napada;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><strong>Operativni poreme\u0107aji:<\/strong> Osim poreme\u0107aja sistema, napad na ivi\u010dnu infrastrukturu poput rutera mo\u017ee dovesti do operativnih poreme\u0107aja unutar pogo\u0111enih organizacija. Ovo mo\u017ee uklju\u010divati ka\u0161njenja u komunikaciji, pote\u0161ko\u0107e u koordinaciji napora izme\u0111u odjeljenja ili lokacija i izazove u odr\u017eavanju kontinuiteta poslovanja tokom procesa oporavka;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><strong>Pitanja uskla\u0111enosti sa propisima:<\/strong> U mnogim industrijama postoje strogi propisi koji reguli\u0161u privatnost podataka, bezbjednost i za\u0161titu intelektualne svojine. Uspje\u0161an napad na rubnu infrastrukturu mo\u017ee dovesti do nepo\u0161tovanja ovih propisa, \u0161to rezultira nov\u010danim kaznama, ili \u010dak pravnim postupcima protiv pogo\u0111ene organizacije;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><strong>Dugoro\u010dni uticaj na poslovnu strategiju:<\/strong> Posljedice uspje\u0161nog napada na rubnu infrastrukturu mogu imati dugotrajne efekte na poslovnu strategiju organizacije. Ovo mo\u017ee uklju\u010divati promjene u <em>IT<\/em> bezbjednosnim politikama i procedurama, pove\u0107ano ulaganje u mjere <a href=\"https:\/\/sajberinfo.com\/en\/2018\/12\/23\/sajber-bezbjednost\/\" target=\"_blank\" rel=\"nofollow noopener\">sajber bezbjednosti<\/a> i promjene u ukupnim strategijama upravljanja rizikom radi bolje za\u0161tite od budu\u0107ih napada;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><strong>Potencijal za naknadne napade:<\/strong> <em>J-magic<\/em> kampanja pokazuje da zlonamjerni akteri mogu pro\u0161iriti svoje ciljanje izvan tradicionalne mre\u017ene opreme na druge tipove ure\u0111aja kao \u0161to su ruteri korporativnog nivoa. Ovo pro\u0161irenje nagla\u0161ava potrebu da organizacije ostanu budne i proaktivne u za\u0161titi svih aspekata svoje <em>IT<\/em> infrastrukture, jer uspje\u0161an napad na jednu komponentu mo\u017ee poslu\u017eiti kao odsko\u010dna daska za dalje upade u mre\u017eu;<\/span><\/li>\n<\/ul>\n<p><span style=\"font-size: 14pt;\">Treba imati na umu da se <em>J-magic<\/em> kampanja prvenstveno fokusirala na organizacije koje koriste <em>Juniper<\/em> rutere kao <em>VPN<\/em> mre\u017ene prolaze. Otprilike 50% ciljanih ure\u0111aja slu\u017ei ovoj funkciji, \u0161to ih \u010dini glavnom metom za zlonamjerne aktere koji \u017eele da se neotkriveno infiltriraju u korporativne mre\u017ee. Sposobnost zlonamjernog softvera da se stopi sa legitimnim procesima ote\u017eava otkrivanje i uklanjanje, pove\u0107avaju\u0107i potencijalnu \u0161tetu koju mo\u017ee da izazove.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Geografski domet kampanje <em>J-magic<\/em> kampanje je ogroman, sa prijavljenim infekcijama \u0161irom Evrope, Azije i Ju\u017ene Amerike. Zemlje kao \u0161to su Argentina, Jermenija, Brazil, \u010cile, Kolumbija, Indonezija, Holandija, Norve\u0161ka, Peru, Ujedinjeno Kraljevstvo, Sjedinjene Ameri\u010dke Dr\u017eave i Venecuela su pogo\u0111ene ovim zlonamjernim softverom. Kako svijest o ovoj tehnici napada raste, vjerovatno \u0107e biti prijavljeno vi\u0161e infekcija, pove\u0107avaju\u0107i potencijal za \u0161iroko rasprostranjenu \u0161tetu.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><strong>ZAKLJU\u010cAK<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Ovaj najnoviji napad, koji cilja <em>Juniper<\/em> rutere koriste\u0107i prilago\u0111eni <em>backdoor<\/em> i iskori\u0161tava <em>Magic<\/em> <em>Packet<\/em> ranjivost, nije izolovan incident, ve\u0107 je nastavak serije napada koji su koristili sli\u010dne taktike protiv perimetarskih ure\u0111aja. Prethodni slu\u010dajevi takvih napada uklju\u010duju <em>BPFdoor<\/em> i <em>Symbiote<\/em>, koji su tako\u0111e koristili <em>Magic<\/em> <em>Packet <\/em>ranjivost da bi dobili neovla\u0161teni pristup rubnoj infrastrukturi. Sve ve\u0107a rasprostranjenost ove vrste napada stvara zna\u010dajne izazove za branioce zbog njegove skrivene prirode, \u0161to ote\u017eava otkrivanje i efikasno reagovanje.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Uspeh ovih kampanja mo\u017ee se pripisati nekoliko faktora. Prvo, dugo vreme trajanja perimetarskih ure\u0111aja kao \u0161to su ruteri \u010dini ih privla\u010dnim metama za zlonamjerne aktere koji tra\u017ee postojane pristupne ta\u010dke mre\u017ei. Drugo, nedostatak softvera za detekciju i odgovor na prijetnje (<em>EDR<\/em>) u takvim ure\u0111ajima, \u0161to dodatno komplikuje napore da se otkriju i ubla\u017ee ove prijetnje.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>J-magic<\/em> kampanja je vrijedna pa\u017enje, jer pokazuje da zlonamjerni akteri pro\u0161iruju svoj ciljni obim izvan tradicionalne mre\u017ene opreme kako bi uklju\u010dili rutere korporativnog nivoa kao \u0161to je <em>Juniper<\/em>. Ovo pro\u0161irenje nagla\u0161ava potrebu da organizacije budu budne u obezbje\u0111ivanju svih ure\u0111aja na svojoj mre\u017ei, posebno onih koji slu\u017ee kao kriti\u010dne ulazne ta\u010dke kao \u0161to su rubna infrastruktura i <em>VPN<\/em> mre\u017eni prolazi. Postavljanje ovih ciljanih ure\u0111aja predstavlja raskrsnicu, otvaraju\u0107i puteve ostatku korporativne mre\u017ee. Zbog toga je za organizacije je od klju\u010dnog zna\u010daja da daju prioritet obezbje\u0111ivanju ovih ure\u0111aja od prijetnji kao \u0161to je <em>J-magic<\/em>.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Za\u0161tita se mo\u017ee posti\u0107i redovnim a\u017euriranjima, jakim politikama <a href=\"https:\/\/sajberinfo.com\/en\/2019\/02\/24\/lozinka-password-sifra\/\" target=\"_blank\" rel=\"nofollow noopener\">lozinki<\/a> i primjenom robusnih bezbjednosnih mjera dizajniranih posebno za rubnu infrastrukturu. Davanjem prioriteta bezbjednosti perimetarskih ure\u0111aja kao \u0161to su ruteri, organizacije mogu zna\u010dajno da smanje svoju izlo\u017eenost riziku i bolje za\u0161tite svoje mre\u017ee od sofisticiranih napada kao \u0161to je <em>J-magic<\/em>.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZASTITA\"><\/span><strong>ZA\u0160TITA<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Suo\u010deni sa eskalacijom sajber prijetnje koju predstavlja <em>J-magic <\/em>kampanja koja cilja <em>Juniper<\/em> rutere korporativnog nivoa, klju\u010dno je za mre\u017ene administratore i profesionalce u bezbjednosti da primjene robusne odbrambene mjere. U nastavku \u0107e biti navedene korisne preporuke koje imaju za cilj ja\u010danje mre\u017ene infrastrukture od ovog sofisticiranog napada:<\/span><\/p>\n<ol>\n<li><span style=\"font-size: 14pt;\">A\u017euriranje ure\u0111aja najnovijim softverskim ispravkama je od su\u0161tinskog zna\u010daja za ubla\u017eavanje ranjivosti koje bi zlonamjerni akteri mogli da iskoriste. Uvjeriti se da svi <em>Juniper<\/em> ruteri pokre\u0107u najnovije verzije upravlja\u010dkog softvera (eng. <em>firmware<\/em>) i odmah respektivno primijeniti sva dostupna bezbjednosna a\u017euriranja;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Primijeniti segmentaciju mre\u017ee da bi se izolovala kriti\u010dna infrastruktura od manje osjetljivih oblasti, \u010dime se ograni\u010dava mogu\u0107nost zlonamjernog aktera da se <a href=\"https:\/\/sajberinfo.com\/en\/2023\/11\/09\/lateral-movement\/\" target=\"_blank\" rel=\"nofollow noopener\">kre\u0107e bo\u010dno<\/a> (eng. <em>lateral movement<\/em>) unutar mre\u017ee u slu\u010daju proboja. Ovo se mo\u017ee posti\u0107i kori\u0161\u0107enjem virtuelnih lokalnih mre\u017ea (eng. <em>virtual local area networks<\/em> \u2013 <em>VLAN<\/em>) ili za\u0161titnih zidova za kreiranje logi\u010dkih granica izme\u0111u razli\u010ditih dijelova mre\u017ee;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Oja\u010dati bezbjednosni polo\u017eaj krajnje ta\u010dke primjenom softvera za detekciju i odgovor na prijetnje (<em>EDR<\/em>) koji prate pona\u0161anje ure\u0111aja u slu\u010daju anomalija, otkrivaju potencijalne prijetnje i odgovaraju na odgovaraju\u0107i na\u010din. Ovo \u0107e pomo\u0107i u ranom otkrivanju prijetnji i omogu\u0107iti brze akcije sanacije kako bi se sprije\u010dilo dalje kompromitovanje <em>Juniper<\/em> rutera;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Postavite sisteme za otkrivanje upada (eng. <em>intrusion detection systems \u2013 IDS<\/em>) na klju\u010dnim ta\u010dkama unutar mre\u017ee kako bi se pratili sumnjivi obrasci saobra\u0107aja ili poznati pokazatelji kompromitovanja koji su povezani sa kampanjom <em>J-magic<\/em> zlonamjernog softvera. Ovo \u0107e pomo\u0107i u ranom otkrivanju prijetnji i omogu\u0107iti brze akcije reagovanja kako bi se sprije\u010dila eventualna ugro\u017eavanja;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Primijeniti stroge smjernice za kontrolu pristupa mre\u017ei koje ograni\u010davaju ko mo\u017ee da pristupi <em>Juniper<\/em> ruterima, \u0161ta mogu da rade kada se pove\u017eu i odakle mogu da se pove\u017eu. Ovo uklju\u010duje kori\u0161\u0107enje jakih lozinki, autentifikaciju u vi\u0161e koraka (eng. <em>multi-factor authentication \u2013 MFA<\/em>) i principe najmanje privilegija kako bi se smanjila <a href=\"https:\/\/sajberinfo.com\/en\/2023\/03\/24\/povrsina-napada-uvod-epizoda-1\/\" target=\"_blank\" rel=\"nofollow noopener\">povr\u0161ina napada<\/a>;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Imaju\u0107i u vidu centralnu ulogu magi\u010dnih paketa u kampanji <em>J-magic<\/em> zlonamjernog softvera, od su\u0161tinskog je zna\u010daja nadgledati mre\u017eni saobra\u0107aj u slu\u010daju bilo kakve sumnjive upotrebe ovih paketa. Ovo se mo\u017ee posti\u0107i primjenom sistema za spre\u010davanje upada (eng. <em>intrusion prevention systems \u2013 IPS<\/em>) ili alata za analizu pona\u0161anja mre\u017ee koji su sposobni da otkriju i blokiraju takvu aktivnost;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Implementirati rje\u0161enje za upravljanje bezbjednosnim informacijama i doga\u0111ajima (eng. <em>security information and event management \u2013 SIEM<\/em>) za prikupljanje, analizu i korelaciju bezbjednosnih podataka iz razli\u010ditih izvora \u0161irom mre\u017ene infrastrukture. Ovo \u0107e pomo\u0107i u br\u017eem identifikovanju potencijalnih prijetnji i omogu\u0107iti proaktivne akcije reagovanja kako bi se ubla\u017eila sva potencijalna ugro\u017eavanja;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Razvijati <a href=\"https:\/\/sajberinfo.com\/en\/2020\/10\/26\/plan-odgovora-na-sajber-prijetnju\/\" target=\"_blank\" rel=\"nofollow noopener\">plan odgovora na sajber prijetnju<\/a> koji navodi korake koje treba preduzeti kada do\u0111e do sajber bezbjednosnog doga\u0111aja, uklju\u010duju\u0107i otkrivanje, obuzdavanje, iskorjenjivanje, oporavak i nau\u010dene lekcije. Ovo \u0107e pomo\u0107i u obezbje\u0111ivanju brzog i efikasnog odgovora na svaki potencijalni upad u kampanji <em>J-magic<\/em> zlonamjernog softvera;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Obrazovati zaposlene o va\u017enosti najboljih praksi za sajber bezbjednost, kao \u0161to su jake lozinke, svest o <a href=\"https:\/\/sajberinfo.com\/en\/2022\/01\/02\/phishing-meta-su-ljudi-ne-tehnologija\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>phishing<\/em> napadima<\/a> i navike bezbjednog pregledanja. Redovne sesije obuke mogu pomo\u0107i da se samnji ljudska gre\u0161ka koja bi mogla nenamjerno da olak\u0161a uspje\u0161an napad na <em>Juniper<\/em> rutere;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Sara\u0111ivati sa drugim organizacijama i platformama za dijeljenje informacija da kako bi se informisalo o najnovijim prijetnjama, uklju\u010duju\u0107i kampanju <em>J-magic<\/em> zlonamjernog softvera. Ovo \u0107e omogu\u0107iti da se prilagode odbrambene mjere u skladu sa dostupnim informacijama i \u010dime se stvara mogu\u0107nost da se ostane korak ispred potencijalnih zlonamjernog aktera.<\/span><\/li>\n<\/ol>\n<p><span style=\"font-size: 14pt;\">Primjenom ovih preporuka, mre\u017eni administratori mogu zna\u010dajno da smanje svoju izlo\u017eenost kampanji <em>J-magic<\/em> zlonamjernog softvera koja cilja <em>Juniper<\/em> rutere korporativnog nivoa. Proaktivan pristup odbrani u sajber bezbjednosti je od su\u0161tinskog zna\u010daja u dana\u0161njem sve slo\u017eenijem okru\u017eenju prijetnji.<\/span><\/p>","protected":false},"excerpt":{"rendered":"<p>Sigurnosni istra\u017eiva\u010di kompanije Lumen Technologies su ukazali na najnoviju prijetnju podna nazivom J-magic. Rije\u010d je o kampanji koja cilja Juniper rutere korporativnog nivoa sa backdoor napadom koji koristi pasivnog agenta za pra\u0107enje. Fokus ove&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":7638,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[2643,2646,2641,2638,2647,2639,2642,2640,2645,2644],"class_list":["post-7637","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-cd00r-backdoor","tag-ebpf-filter","tag-edge-device-targeting","tag-j-magic","tag-juniper-networks-threat","tag-juniper-routers","tag-magic-packet-vulnerability","tag-network-infrastructure-attack","tag-reverse-shell-attack","tag-tcp-traffic-malware"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/7637","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=7637"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/7637\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/7638"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=7637"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=7637"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=7637"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}