حمله سایبری چین به دستگاه‌های جونیپر نتوورکس

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، به گفته محققان، این گروه دولتی که با نام UNC3886 شناخته می‌شود، سال گذشته کمپینی برای نصب درب‌های پشتی (Backdoors) سفارشی بر روی روترهای مجهز به سیستم‌عامل جونیپر (Junos OS) اجرا کرده است.

به نظر می‌رسد تمرکز اصلی این گروه بر روی سازمان‌های فعال در حوزه دفاعی، فناوری و مخابرات در ایالات متحده و آسیا باشد.

شرکت ماندیانت (Mandiant) که متعلق به گوگل است، اعلام کرد که با همکاری جونیپر نتوورکس این حملات را بررسی کرده و دریافتند که روترهای آسیب‌دیده از سخت‌افزار و نرم‌افزار قدیمی و از رده خارج استفاده می‌کردند.

همچنین بدافزار مستقرشده بر روی روترهای جونیپر نشان می‌دهد که UNC3886 دارای دانش عمیقی از سیستم‌های پیشرفته داخلی است.

این شرکت همچنین اعلام کرد که در سال ۲۰۲۳، UNC3886 از آسیب‌پذیری‌های موجود در سیستم‌های امنیتی فورتینت (Fortinet) و وی ام ویر (VMware) برای حمله به شبکه‌ها و فایروال‌ها استفاده کرده بود.

بررسی‌های تیم پاسخگویی به حوادث نشان می‌دهد که هدف این گروه در هر دو کمپین اخیر، دستیابی به اعتبارنامه‌های قانونی برای حرکت جانبی در شبکه بدون شناسایی بوده است.

تحلیلگران بر این باورند که این مهاجمان تمرکز اصلی خود را بر روی حفظ دسترسی بلندمدت به شبکه‌های قربانی گذاشته‌اند.

شرکت ماندیانت بیان کرد:

UNC3886 به طور مداوم درک عمیقی از فناوری‌های مورد هدف خود نشان می‌دهد.

این شرکت همچنین تأکید کرد که تاکنون تداخل فنی بین این گروه و گروه‌های دولتی دیگر مانند طوفان ولت (Volt Typhoon) یا طوفان نمک (Salt Typhoon) مشاهده نشده است.

آستین لارسن، تحلیلگر ارشد تهدیدات در گروه تشخیص تهدید گوگل (Google Threat Intelligence Group)، اعلام کرد که این کمپین به دلیل بدافزار سفارشی و پیچیده‌ای که مستقیماً روترهای جونیپر را هدف قرار داده است، متمایز می‌شود.

تاکتیک‌های مورد استفاده در این حملات نشان می‌دهد که این گروه از منابع گسترده و مهارت بالایی برای مطالعه و یادگیری دستگاه‌های مختلف برخوردار است و می‌تواند بدافزارهای متنوعی برای آن‌ها طراحی کند و از سد محافظت‌های داخلی عبور کند.

محققان شش نسخه سفارشی‌شده از درب‌پشتی تاینی شل را روی روترهای با سیستم عامل جونیپر شناسایی کرده‌اند.

لارسن توضیح داد که مهاجمان، بدافزار را متناسب با سیستم عامل جونیپر طراحی کرده‌اند و ویژگی‌هایی را در آن گنجانده‌اند که پیش از این در حملات مشابه به دیگر دستگاه‌های مرزی شبکه مشاهده نشده بود.

محققان این نوع بدافزارهای سفارشی را از سال ۲۰۲۲ تحت نظر دارند و اعلام کردند که مهاجمان به طور تاریخی دستگاه‌های شبکه و فناوری‌های مجازی‌سازی را با سوءاستفاده از آسیب‌پذیری‌های روز صفر هدف قرار داده‌اند.

روش‌های این گروه نشان می‌دهد که آن‌ها مخفی‌کاری در عملیات را در اولویت قرار داده‌اند و به دنبال حفظ دسترسی بلندمدت با حداقل ریسک شناسایی هستند.

همچنین این هکرها دامنه اهداف خود را از دستگاه‌های مرزی شبکه به زیرساخت‌های داخلی مانند روترهای ارائه‌دهندگان خدمات اینترنت (ISP) گسترش داده‌اند.

در یک چشم‌انداز گسترده‌تر، نفوذ به دستگاه‌های مسیریابی (روترها) یک روند جدید در تاکتیک‌های گروه‌های جاسوسی است، زیرا به آن‌ها امکان می‌دهد دسترسی بلندمدت و سطح بالایی به زیرساخت‌های حیاتی مسیریابی داشته باشند و در آینده اقدامات مخرب‌تری انجام دهند.

ماندیانت به سازمان‌هایی که از روترهای MX شرکت جونیپر با سخت‌افزار و نرم‌افزار قدیمی استفاده می‌کنند، توصیه کرد که دستگاه‌های خود را ارتقا دهند.

لازم به ذکر است که دستگاه‌های جونیپر نتوورکس پیش‌تر نیز هدف حملات بدافزار میرای (Mirai) قرار گرفته بودند.