IT-Sicherheitsforscher haben Backdoors von Juniper-Routern untersucht, mit denen die Geräte bei einer Angriffswelle von den Tätern ausgestattet wurden. Eine Besonderheit ist, dass sie zunächst passiv auf sogenannte Magic Packets lauschen, bevor sie aktiv werden und Zugriff gewähren.
Anzeige
In ihrer tiefschürfenden Analyse schreiben die Mitarbeiter des Black-Lotus-Teams von Lumen, dass sie die Kampagne, bei der die Backdoor verteilt wurde, "J-magic" getauft haben. Erste Samples der Backdoor fanden sich demnach bereits im September 2023 im Malware-Fundus von Virustotal. Wie die Angreifer initial in betroffene Juniper-Router eingebrochen sind, konnten die IT-Forscher nicht rekonstruieren.
Nach dem Einbruch in die Router haben die Täter dann die Backdoor installiert. Es handelt sich demnach um eine Variante von cd00r. Das ist eine Open-Source-Backdoor, die auf Packetstorm im Jahr 2000 als Proof-of-Concept veröffentlicht wurde.
Die untersuchte Variante kann passiv auf fünf vordefinierte Parameter lauschen, oder auch Magic Packets, bevor sie sich aktiviert. Sofern ein solches Magic Packet erkannt wurde, sende der Backdoor-Agent eine zweite Challenge zurück. Sofern diese bestanden wurde, öffnet J-magic eine Reverse-Shell auf dem lokalen Dateisystem und erlaubt den Strippenziehern, das kompromittierte Gerät zu kontrollieren, Daten zu stehlen oder bösartige Software zu verteilen.
Die Lumen-Mitarbeiter gehen davon aus, dass die Enterprise-Router von Juniper ein attraktives Ziel hergeben, da dort kaum – falls überhaupt – Host-basierte Überwachungswerkzeuge im Einsatz seien. Die Geräte würden selten neu gestartet. Für diese Router maßgeschneiderte Malware ist auf die langen Uptimes ausgelegt und ausschließlich im Speicher aktiv, was die Erkennung erschwere und Langzeitzugriff gegenüber Malware verspreche, die sich in die Firmware implantiert.
Die Router am Netzwerkrand (Edge) oder als VPN-Gateways, wie es viele in der beobachteten Kampagne waren, seien die vielversprechendsten Ziele. Die Position öffne den Weg in den Rest des Unternehmensnetzes. Die Kampagne dauerte seit etwa Mitte 2023 bis mindestens Mitte 2024 an, erklärt Lumen weiter. Ähnlichkeiten zu der "Seaspy"-Backdoor seien zu erkennen, mit denen in 2023 Barracuda E-Mail Security Appliances (ESG) angegriffen wurden. Auch die basierte demnach auf cd00r, jedoch haben die IT-Forscher nicht genügend Daten, um die beiden Kampagnen mit hoher Sicherheit zu verbinden.
Interessierte finden weiterreichende Informationen zu den technischen Details der Backdoor in dem Blog-Beitrag bei Lumen.
Vergangenen Oktober hat Juniper mehr als 30 Sicherheitslücken in der Software der Geräte des Unternehmens gestopft. Einige Lücken unter anderem im Router-Betriebssystem Junos OS galten als kritisch. Einige davon hätten Angreifer vermutlich auch zur Einrichtung der analysierten Backdoor missbrauchen können.
(
Kommentare