Nach einer intensiven Untersuchung, die bis Mitte 2024 zurückreicht, hat das Sicherheitsunternehmen Mandiant eine verdeckte Spionagekampagne der mit China in Verbindung stehenden Gruppierung UNC3886 aufgedeckt. Dabei wurde speziell entwickelte Malware auf ausgemusterten Junos OS-Routern von Juniper Networks entdeckt.
Mandiant arbeitete eng mit Juniper Networks zusammen und stellte fest, dass die betroffenen Juniper MX-Router mit veralteter Hardware und Software betrieben wurden. Die Untersuchung ergab, dass UNC3886 ein tiefgehendes Verständnis für die internen Strukturen dieser Systeme besitzt und dieses Wissen gezielt ausnutzt.
Die entdeckte Malware ist Teil eines umfangreichen Ökosystems, das sechs verschiedene Varianten umfasst. Diese sind modifizierte Versionen der TINYSHELL-Backdoor, welche Angreifern den dauerhaften Zugriff auf die Geräte ermöglichen. Besonders perfide: Neben aktiven und passiven Hintertüren gibt es ein eingebettetes Skript, das die Protokollierungsmechanismen deaktiviert und so Sicherheitsüberwachungen umgeht.
Trotz dieser raffinierten Angriffsmethoden fand Mandiant keine Hinweise darauf, dass UNC3886 in der Lage war, den Sicherheitsmechanismus Veriexec von Junos OS erfolgreich zu umgehen. Dennoch konnte der Angreifer auf den kompromittierten End-of-Life (EOL) Juniper MX-Routern Root-Zugriff erlangen und schadhafte Hintertüren installieren.
Ein alarmierender Aspekt dieser Kampagne ist die strategische Weiterentwicklung von UNC3886. Während sich die Gruppierung bisher auf Netzwerk-Edge-Geräte konzentrierte, zeigt diese neue Aktivität, dass nun auch interne Netzwerkinfrastrukturen ins Visier genommen werden – insbesondere Router von Internetdienstanbietern. Ein erfolgreicher Angriff könnte gravierende Auswirkungen auf globale Netzwerke haben.
Mandiant und Juniper Networks rufen Unternehmen dazu auf, ihre Juniper-Geräte dringend auf die neuesten Software-Versionen zu aktualisieren, um Sicherheitslücken zu schließen. Ebenso sollten Unternehmen nach dem Update das Juniper Malware Removal Tool (JMRT) nutzen und sowohl den Quick Scan als auch den Integrity Check durchführen.
Kunden von Juniper Networks wird dringend empfohlen, die aktuellen Sicherheitshinweise zu prüfen und alle vorgeschlagenen Schutzmaßnahmen umzusetzen. Die Enthüllungen von Mandiant unterstreichen erneut, wie wichtig regelmäßige Updates und proaktive Sicherheitsmaßnahmen in der heutigen Bedrohungslandschaft sind.
Weitere Informationen:
Der vollständige Bericht auf dem Google Cloud Blog enthält eine detaillierte Analyse der Malware, Indikatoren für eine Gefährdung (Indicators of Compromise, IOCs) und zusätzliche Empfehlungen zur Sicherung der Netzwerkinfrastruktur.
(vp/Mandiant/Google Cloud)