Tin tặc Trung Quốc xâm nhập bộ định tuyến Juniper Networks bằng backdoor và rootkit tùy chỉnh

Nhóm gián điệp mạng có liên hệ với Trung Quốc, được theo dõi dưới tên gọi UNC3886, đã bị phát hiện nhắm mục tiêu vào các bộ định tuyến MX đã hết tuổi đời (end-of-life) của Juniper Networks như một phần của chiến dịch được thiết kế để triển khai các backdoor tùy chỉnh, làm…

IT-PRO

“Các backdoor này có nhiều khả năng tùy chỉnh khác nhau, bao gồm các chức năng backdoor chủ động và thụ động, cũng như một script được nhúng để vô hiệu hóa các cơ chế ghi nhật ký (logging mechanisms) trên thiết bị mục tiêu,” .

Công ty tình báo về mối đe dọa Mandiant mô tả sự phát triển này là một bước tiến trong kỹ thuật của đối thủ, vốn trong lịch sử đã khai thác các lỗ hổng zero-day trong các thiết bị Fortinet, Ivanti và VMware để xâm nhập các mạng lưới quan tâm và thiết lập sự tồn tại cho truy cập từ xa.

Được ghi nhận lần đầu tiên vào tháng 9 năm 2022, nhóm tin tặc này được đánh giá là “rất thành thạo” và có khả năng nhắm mục tiêu vào các thiết bị ở rìa mạng (edge devices) và các công nghệ ảo hóa với mục tiêu cuối cùng là xâm nhập các tổ chức quốc phòng, công nghệ và viễn thông có trụ sở tại Hoa Kỳ và châu Á.

Các cuộc tấn công này thường tận dụng việc các thiết bị ở vành đai mạng như vậy thiếu các giải pháp giám sát và phát hiện bảo mật, do đó cho phép chúng hoạt động không bị cản trở và không thu hút sự chú ý.

“Việc xâm nhập các thiết bị định tuyến là một xu hướng gần đây trong chiến thuật của các đối thủ có động cơ gián điệp vì nó mang lại khả năng truy cập cấp cao, lâu dài vào cơ sở hạ tầng định tuyến quan trọng, với tiềm năng gây ra các hành động phá hoại hơn nữa trong tương lai,” Mandiant cho biết.

Hoạt động mới nhất, được phát hiện vào giữa năm 2024, liên quan đến việc sử dụng các implant dựa trên TinyShell, một backdoor được viết bằng ngôn ngữ C đã được nhiều nhóm tin tặc Trung Quốc như Liminal Panda và Velvet Ant sử dụng trước đây.

Mandiant cho biết họ đã xác định được sáu backdoor riêng biệt dựa trên TinyShell, mỗi backdoor mang một khả năng riêng biệt

•

appid: hỗ trợ tải lên/tải xuống tệp, shell tương tác, proxy SOCKS và thay đổi cấu hình (ví dụ: máy chủ command-and-control, số cổng, giao diện mạng, v.v.)

•

to: tương tự như appid nhưng với một tập hợp các máy chủ C2 được mã hóa cứng khác

•

irad: một backdoor thụ động hoạt động như một trình theo dõi gói tin dựa trên libpcap để trích xuất các lệnh được thực thi trên thiết bị từ các gói tin ICMP

•

lmpad: một tiện ích và một backdoor thụ động có thể khởi chạy một script bên ngoài để thực hiện việc tiêm process vào các process hợp lệ của Junos OS nhằm trì hoãn việc ghi nhật ký

•

jdosd: triển khai một backdoor UDP với khả năng truyền tệp và shell từ xa

•

oemd: một backdoor thụ động giao tiếp với máy chủ C2 qua TCP và hỗ trợ các lệnh TinyShell tiêu chuẩn để tải lên/tải xuống tệp và thực thi lệnh shell

Điều đáng chú ý là tin tặc đã thực hiện các bước để chạy phần mềm độc hại bằng cách vượt qua các biện pháp bảo vệ Verified Exec (veriexec) của Junos OS, vốn ngăn chặn việc thực thi mã không đáng tin cậy. Điều này được thực hiện bằng cách giành được quyền truy cập đặc quyền vào bộ định tuyến từ một máy chủ đầu cuối (terminal server) được sử dụng để quản lý các thiết bị mạng bằng thông tin đăng nhập hợp lệ

Các quyền nâng cao sau đó được sử dụng để tiêm các payload độc hại vào bộ nhớ của một process cat hợp lệ, dẫn đến việc thực thi backdoor lmpad trong khi veriexec vẫn được bật.

“Mục đích chính của phần mềm độc hại này là vô hiệu hóa tất cả các nhật ký có thể có trước khi operator kết nối với bộ định tuyến để thực hiện các hoạt động trực tiếp và sau đó khôi phục nhật ký sau khi operator ngắt kết nối,” Mandiant lưu ý.

Một số công cụ khác được UNC3886 triển khai bao gồm các rootkit như Reptile và Medusa; PITHOOK để chiếm quyền xác thực SSH và thu thập thông tin đăng nhập SSH; và GHOSTTOWN cho các mục đích chống pháp lý (anti-forensics).

Các tổ chức được khuyến nghị nâng cấp các thiết bị Juniper của họ lên các bản image mới nhất do Juniper Networks phát hành, bao gồm các biện pháp giảm thiểu và các signature được cập nhật cho Công cụ Xóa Phần mềm Độc hại Juniper (Juniper Malware Removal Tool – JMRT).

Sự việc này xảy ra chỉ hơn một tháng sau khi Lumen Black Lotus Labs tiết lộ rằng các bộ định tuyến Juniper Networks cấp doanh nghiệp đã trở thành mục tiêu của một backdoor tùy chỉnh như một phần của chiến dịch có tên là J-magic, vốn triển khai một biến thể của một backdoor đã biết có tên là cd00r.

“Phần mềm độc hại được triển khai trên các bộ định tuyến Junos OS của Juniper Networks cho thấy UNC3886 có kiến thức chuyên sâu về các thành phần hệ thống nâng cao,” các nhà nghiên cứu của Mandiant cho biết.

“Hơn nữa, UNC3886 tiếp tục ưu tiên tính bí mật trong các hoạt động của mình thông qua việc sử dụng các backdoor thụ động, cùng với việc giả mạo nhật ký và các artifact pháp lý, cho thấy sự tập trung vào việc duy trì sự tồn tại lâu dài, đồng thời giảm thiểu rủi ro bị phát hiện”.

Security365