Chinesische Hacker nutzen Juniper-Router mit maßgeschneiderten Backdoors aus

Posted on March 12, 2025
Sicherheitsforscher von Mandiant haben eine Cyber-Spionagekampagne entdeckt, die sich gegen veraltete Juniper Networks Junos OS-Router richtet. Die Hackergruppe, bekannt als UNC3886 und mit China in Verbindung gebracht, hat maßgeschneiderte Backdoors in veraltete Netzwerkgeräte eingeschleust. Die Angreifer verschafften sich über legitime Anmeldedaten privilegierten Zugriff und umgingen das Veriexec-Subsystem von Junos OS, das die Dateiintegrität schützt.

Nach dem Eindringen nutzten die Hacker Prozessinjektionstechniken, um eine Entdeckung zu vermeiden, und implementierten Backdoors mit sowohl aktiven als auch passiven Funktionen. Zudem wurde ein eingebettetes Skript verwendet, um die Protokollierungsmechanismen auf den kompromittierten Geräten zu deaktivieren. Die Analyse ergab, dass UNC3886 eine “Here Document”-Methode nutzte, um eine Base64-codierte Datei zu erstellen, die nach der Dekodierung ein komprimiertes Archiv mit schädlichen Payloads enthielt.

Mandiant identifizierte sechs Varianten von TINYSHELL-basiertem Malware-Code, die speziell für Junos OS angepasst wurden – ein Hinweis darauf, dass die Angreifer ein tiefgehendes Verständnis für das System haben. Die Gruppe konzentrierte sich auf Netzwerk-Authentifizierungsdienste wie TACACS+ sowie auf Terminalserver mit Zugriff auf die Router, um erhöhte Privilegien zu erlangen.

Die vollständige Analyse der Angreiferaktivitäten wurde durch die proprietäre Natur der kompromittierten Netzwerkgeräte erschwert. Um Sicherheitsverantwortlichen bei der Erkennung potenzieller Infektionen zu helfen, hat Mandiant Indikatoren für Kompromittierungen (IOCs) und YARA-Regeln veröffentlicht.

Zur Risikominimierung wird Unternehmen dringend empfohlen, ihre Juniper-Router auf die neueste Firmware-Version zu aktualisieren, die verbesserte Sicherheitsmaßnahmen enthält. Zudem wird geraten, das Juniper Malware Removal Tool (JMRT) mit einem Schnellscan und einer Integritätsprüfung nach dem Update auszuführen. Da Cyber-Spionage-Bedrohungen kontinuierlich zunehmen, sind regelmäßige Updates und eine verstärkte Überwachung unerlässlich, um Netzwerksicherheit zu gewährleisten.

Source: SecurityWeek

Die European Cyber Intelligence Forum ist ein gemeinnütziger Think Tank, der sich auf Geheimdienste und Cybersicherheit spezialisiert hat und Beratungsdienste für Regierungsbehörden anbietet. Um potenzielle Bedrohungen zu mindern, ist es wichtig, zusätzliche Cybersicherheitsmaßnahmen mit Hilfe eines vertrauenswürdigen Partners wie INFRA www.infrascan.net umzusetzen, oder Sie können es selbst versuchen mit check.website.