Des pirates informatiques chinois ont implémenté des portes dérobées personnalisées sur les routeurs MX Junos OS de Juniper Networks.
Mandiant a identifié des portes dérobées personnalisées sur les routeurs Junos OS de Juniper Networks. Le logiciel malveillant est attribué au groupe d’espionnage UNC3886 lié à la Chine. L’attaque cible du matériel et des logiciels en fin de vie.
Portes dérobées
Les portes dérobées, basées sur TINYSHELL, offrent des possibilités d’accès à la fois actives et passives. Elles incluent également des scripts qui désactivent les mécanismes de journalisation, entravant ainsi la détection. Selon Mandiant, UNC3886 s’est déjà précédemment concentré sur les technologies de virtualisation et les périphériques, qui ne prennent souvent pas en charge une surveillance de sécurité avancée. L’accent est mis sur l’accès à long terme aux réseaux et le mouvement latéral avec des identifiants volés.
lire aussi
Les routeurs Juniper du monde entier sont secrètement équipés d’une mystérieuse porte dérobée
Mandiant a collaboré avec Juniper Networks pour examiner l’impact. Les routeurs affectés utilisent du matériel et des logiciels obsolètes. Juniper Networks conseille aux clients de mettre à niveau leurs appareils vers les dernières versions de firmware, qui incluent des mesures d’atténuation et des signatures mises à jour pour l’outil de suppression de logiciels malveillants Juniper (JMRT). Après la mise à niveau, il est recommandé d’effectuer un scan rapide JMRT et une vérification d’intégrité.
Menace persistante
UNC3886 continue d’affiner ses tactiques et techniques. Le groupe a introduit un nouvel outil en 2024 leur permettant de se déplacer davantage au sein des réseaux. Mandiant n’a trouvé aucune similitude technique entre cette activité et des campagnes connues telles que Volt Typhoon ou Salt Typhoon. Les découvertes confirment qu’UNC3886 se spécialise dans l’exploitation des appareils de réseau et de périphérie pour une infiltration à long terme.