كشفت تقارير حديثة عن استهداف مجموعة التجسس السيبراني UNC3886، المرتبطة بالصين، لأجهزة التوجيه MX التي وصلت إلى نهاية عمرها الافتراضي من Juniper Networks، في حملة تهدف إلى نشر أبواب خلفية مخصصة، مما يعكس قدرتهم على اختراق البنية التحتية الداخلية للشبكات.
تفاصيل الاختراق
أوضحت شركة Mandiant، المملوكة لـ Google، في تقرير نشرته The Hacker News أن البرمجيات الخبيثة المستخدمة تضمنت أبوابًا خلفية بميزات متطورة، مثل:
- وظائف نشطة وسلبية لتشغيل الأبواب الخلفية.
- تعطيل آليات تسجيل الدخول على الأجهزة المستهدفة لمنع اكتشاف النشاط الضار.
ووفقًا لـ Mandiant، فإن هذه الحملة تمثل تطورًا كبيرًا في أساليب الهجوم لدى UNC3886، والتي استغلت سابقًا ثغرات يوم الصفر في أجهزة Fortinet وIvanti وVMware لاختراق شبكات المؤسسات المستهدفة.
تم توثيق نشاط UNC3886 لأول مرة في سبتمبر 2022، ويُنظر إليهم كجهة تهديد متقدمة تستهدف أجهزة الحافة وتقنيات المحاكاة الافتراضية، بهدف اختراق القطاعات الدفاعية والتكنولوجية والاتصالات في الولايات المتحدة وآسيا.
التكتيكات الحديثة للقرصنة
يعتمد القراصنة على حقيقة أن أجهزة البنية التحتية الشبكية لا تحتوي على حلول مراقبة أمنية متقدمة، مما يسمح لهم بالبقاء غير مكتشفين لفترات طويلة.
وأوضحت Mandiant أن استهداف أجهزة التوجيه يمثل اتجاهًا متزايدًا بين مجموعات التجسس السيبراني، حيث يمنحهم ذلك وصولًا طويل الأمد وعالي المستوى إلى الشبكات، مع إمكانية تنفيذ عمليات أكثر تدميرًا في المستقبل.
استخدام TinyShell في الهجمات
تم رصد أحدث أنشطة المجموعة في منتصف 2024، حيث تم استخدام برمجيات خبيثة تعتمد على TinyShell، وهو باب خلفي مكتوب بلغة C استخدمته مجموعات قرصنة صينية أخرى مثل Liminal Panda وVelvet Ant.
أنواع الأبواب الخلفية المستخدمة:
- appid: يدعم تحميل/تنزيل الملفات، تشغيل أوامر عن بعد، ووكيل SOCKS.
- to: مشابه لـ appid ولكن بخوادم C2 مختلفة.
- irad: يعمل كباب خلفي سلبي يستخدم تقنية التقاط الحزم (libpcap) لاستخراج الأوامر عبر حزم ICMP.
- lmpad: يقوم بحقن البرمجيات الخبيثة في عمليات نظام التشغيل Junos OS لتعطيل التسجيل.
- jdosd: باب خلفي يعتمد على UDP مع ميزات نقل الملفات والتحكم عن بعد.
- oemd: باب خلفي يتصل بخادم التحكم عبر TCP ويدعم أوامر TinyShell القياسية.
تجاوز حماية Junos OS
تمكن القراصنة من تنفيذ البرمجيات الخبيثة عبر الالتفاف على آلية Verified Exec (veriexec) في نظام Junos OS، والتي تمنع تشغيل التعليمات البرمجية غير الموثوقة. تم ذلك عبر الوصول إلى الجهاز ببيانات اعتماد شرعية من خلال خادم طرفي لإدارة الأجهزة الشبكية، ثم حقن الحمولة الخبيثة في الذاكرة عبر عملية cat الشرعية.
أدوات قرصنة أخرى مستخدمة
إلى جانب الأبواب الخلفية، استخدمت مجموعة UNC3886 أدوات متقدمة مثل:
- Reptile وMedusa: جُذور خفية (Rootkits) لإخفاء العمليات الضارة.
- PITHOOK: لاختطاف بيانات تسجيل الدخول عبر SSH.
- GHOSTTOWN: لإخفاء الأدلة الرقمية وتعطيل عمليات التحليل الجنائي.
التوصيات الأمنية
🔹 توصي Mandiant المؤسسات بتحديث أجهزة Juniper إلى أحدث الإصدارات، والتي تتضمن إصلاحات أمنية وآلية محسّنة لإزالة البرمجيات الخبيثة عبر أداة Juniper Malware Removal Tool (JMRT).
يأتي هذا التطور بعد أكثر من شهر على كشف مختبرات Lumen Black Lotus عن استهداف أجهزة التوجيه من Juniper Networks ببرمجيات خلفية مخصصة ضمن حملة J-magic، والتي تضمنت نسخة متطورة من الباب الخلفي cd00r.
أكد باحثو Mandiant أن الهجمات الأخيرة تظهر أن UNC3886 تمتلك معرفة متقدمة بالبنية الداخلية لأنظمة Junos OS، مع تركيز واضح على التخفي طويل الأمد عبر الأبواب الخلفية السلبية، والتلاعب بسجلات النظام، مما يقلل من خطر اكتشافهم.
