Специалисты из Black Lotus Labs обнаружили вредоносную программу, которая нацелена на корпоративные маршрутизаторы Juniper. Называемая «J-Magic», она использует «магический пакет» для активации бэкдора на устройствах, работающих на Junos OS, основанной на FreeBSD. Это позволяет злоумышленникам незаметно овладевать контролем над этими устройствами, извлекать информацию и устанавливать дополнительное вредоносное ПО.
Данная программа привлекла внимание из-за своей нацеленности на дорогостоящее сетевое оборудование Juniper, которое часто является критически важной частью инфрас¬труктуры организаций. Маршрутизаторы корпоративного уровня становятся заманчивыми целями для хакеров, поскольку на них обычно отсутствуют надежные средства мониторинга, они работают с минимальными перерывами и могут содержать вредоносное ПО в оперативной памяти.
Согласно информации Black Lotus Labs, атака ведется с середины 2023 года и затрагивает разные отрасли, включая полупроводники, энергетику, IT и производство, причем особенно уязвимыми оказались маршрутизаторы Juniper, выполняющие функции VPN-шлюзов.
Суть J-Magic заключается в модифицированной версии устаревшего вредоносного ПО cd00r, появившегося в 2000 году. Изначально разработанный для экспериментов с «невидимыми» бэкдорами, cd00r были адаптирован к высокотехнологичной программе J-Magic, которая может оставаться неактивной до наступления определенных условий во входящем TCP-трафике.
Black Lotus Labs описала механику J-Magic следующим образом:
Обнаружение магических пакетов: вредоносное ПО устанавливает пассивный агент на роутере для контроля всего входящего TCP-трафика с использованием функции захвата пакетов (pcap) через расширенные фильтры пакетов Berkeley (eBPF).
Активация триггеров: в полезные нагрузки TCP встроены специальные критерии, известные как «магические пакеты». Эти пакеты содержат набор заранее определённых параметров, любой из которых может инициировать работу вредоносной программы.
Механизм «вызов-ответ»: после активации ПО отправляет вызов, зашифрованный с помощью жестко закодированного открытого ключа RSA. Злоумышленник должен ответить корректно, чтобы получить доступ к командной оболочке.
Обратный доступ: после подтверждения аутентификации злоумышленник получает контроль над устройством, что позволяет ему загружать данные, выполнять команды или углубляться в корпоративную сеть. Вредоносное ПО также маскируется под легитимный процесс с именем [nfsiod 0], чтобы избежать обнаружения.
J-Magic выявляет тщательно подобранные условия в TCP-пакетах, включая специфические байтовые последовательности в заголовках, IP-адреса и порты. При соблюдении одного из пяти условий вредоносное ПО инициирует обратный вызов на IP злоумышленника.
Хотя J-Magic имеет схожесть с предыдущей кампанией SeaSpy, команда Black Lotus осторожна в заключениях о связи между ними. Исследователи отмечают, что несмотря на общие черты, имеются уникальные аспекты, такие как встроенный вызов по сертификату RSA, не встречавшийся в образцах SeaSpy.
Кампания также подчеркивает растущую тенденцию среди злоумышленников к использованию резидентного в памяти пассивного вредоносного ПО, что позволяет избегать традиционных методов обнаружения.
Маршрутизаторы Juniper являются привлекательными целями для злоумышленников.
Исследователи обнаружили случаи заражения вредоносным программным обеспечением J-Magic, зафиксировав 36 уникальных IP-адресов по всему миру. Почти половина скомпрометированных устройств использовалась в качестве VPN-шлюзов для организаций-мишеней, что облегчало удаленный доступ и потенциальную кражу учетной информации.
Пострадавшие организации представляли разнообразные сектора и регионы. Основные факты включают: строительные и ИТ-компании из Великобритании столкнулись с атаками в промежутке с июня по август 2024 года. Норвежская биоинженерная компания получала многоразовые пакеты Magic в период с середины до конца 2024 года. Злоумышленники также направили свои атаки на организации в энергетическом секторе, включая производителей солнечных панелей. У другой группы зараженных устройств были открыты порты NETCONF, часто используемые для автоматизации управления. Эти маршрутизаторы, как правило, обслуживают большие массивы оборудования у телекоммуникационных компаний или интернет-провайдеров, что подчеркивает стремление злоумышленников нарушить централизованную инфраструктуру.