Hacker cinesi violano router Juniper MX con backdoor invisibili: allarme cybersecurity!

Il gruppo informatico cinese UNC3886 ha hackerato i vecchi router MX di Juniper Networks utilizzando backdoor nascoste. Secondo i dati Mandiant, gli aggressori utilizzano backdoor attive e passive, disabilitano la registrazione e mantengono l’accesso alle reti delle vittime.

UNC3886 è noto dal 2022 e attacca i dispositivi di rete e la virtualizzazione, prendendo di mira aziende di difesa, tecnologia e telecomunicazioni negli Stati Uniti e in Asia. I dispositivi sul perimetro della rete solitamente non vengono monitorati, il che consente agli hacker di agire inosservati.

Gli ultimi attacchi utilizzano backdoor basate su Tiny SHell. Consentono di caricare e scaricare file, intercettare pacchetti, infiltrarsi nei processi di Junos OS ed eseguire comandi. Gli hacker criminali quindi aggirano la sicurezza di Junos OS Verified Exec utilizzando credenziali rubate per iniettare codice nei processi di sistema.

L’obiettivo principale degli attacchi è disattivare la registrazione prima di connettere l’operatore e ripristinarla una volta completato il lavoro.

Oltre alle backdoor, UNC3886 utilizza i rootkit Reptile e Medusa, le utilità PITHOOK (per rubare le credenziali SSH) e GHOSTTOWN (per rimuovere le tracce degli attacchi).

Gli esperti consigliano di aggiornare Juniper MX alle versioni più recenti e di utilizzare Juniper Malware Removal Tool (JMRT). È inoltre importante rafforzare il monitoraggio dell’attività di rete e utilizzare strumenti di rilevamento delle anomalie per prevenire attacchi simili in futuro.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.