Современные киберугрозы развиваются с невиданной скоростью, и появление таких изощренных атак, как кампания J-magic, подчеркивает необходимость пристального внимания к безопасности корпоративного сетевого оборудования. Исследования, проведенные Black Lotus Labs (Lumen Technologies), показали, что злоумышленники используют уязвимость magic packet в маршрутизаторах Juniper Networks, что ставит под угрозу критически важные инфраструктуры по всему миру.
Кампания J-magic: основные факты
Название кампании происходит от функционала вредоносного ПО, который позволяет ему мониторить трафик TCP в поисках особого “магического пакета”, инициирующего выполнение вредоносного кода. Эта атака примечательна своей ориентацией на маршрутизаторы Juniper и редкостью разработок, направленных на операционную систему JunoOS (на базе FreeBSD).
Ключевые данные
• Активность: с середины 2023 до середины 2024 года. Первые следы обнаружены в сентябре 2023 года.
• Цели: отрасли полупроводников, энергетики, производства и информационных технологий (IT).
• География: атаки зафиксированы в Европе, Азии и Южной Америке, включая Великобританию, США, Индонезию, Аргентину и Бразилию.
Как работает вредоносное ПО
1. Первичный доступ
Механизм изначального компрометации остается неустановленным, однако после проникновения злоумышленники внедряют модифицированную версию публично доступного бэкдора cd00r.
2. Активация магическим пакетом
После получения магического пакета агент:
• Отправляет вторичный запрос на подтверждение.
• Устанавливает обратное соединение с заданным IP-адресом и портом, предоставляя злоумышленникам полный контроль над устройством.
3. Защита от конкурирующих атак
Механизм challenge-response предотвращает использование скомпрометированных устройств другими злоумышленниками, что указывает на высокий уровень продуманности атаки.
Контекст и последствия
Кампания J-magic не является единичным случаем. Похожие атаки, такие как
Почему маршрутизаторы под ударом?
• Длительное время работы: маршрутизаторы редко перезагружаются, что делает их удобной мишенью.
• Отсутствие защиты EDR: сетевое оборудование не оснащено средствами обнаружения, аналогичными решениям для конечных устройств.
• Ключевая роль в инфраструктуре: компрометация маршрутизаторов обеспечивает злоумышленникам плацдарм для последующих атак.
Кампания J-magic: основные факты
Название кампании происходит от функционала вредоносного ПО, который позволяет ему мониторить трафик TCP в поисках особого “магического пакета”, инициирующего выполнение вредоносного кода. Эта атака примечательна своей ориентацией на маршрутизаторы Juniper и редкостью разработок, направленных на операционную систему JunoOS (на базе FreeBSD).
Ключевые данные
• Активность: с середины 2023 до середины 2024 года. Первые следы обнаружены в сентябре 2023 года.
• Цели: отрасли полупроводников, энергетики, производства и информационных технологий (IT).
• География: атаки зафиксированы в Европе, Азии и Южной Америке, включая Великобританию, США, Индонезию, Аргентину и Бразилию.
Как работает вредоносное ПО
1. Первичный доступ
Механизм изначального компрометации остается неустановленным, однако после проникновения злоумышленники внедряют модифицированную версию публично доступного бэкдора cd00r.
2. Активация магическим пакетом
После получения магического пакета агент:
• Отправляет вторичный запрос на подтверждение.
• Устанавливает обратное соединение с заданным IP-адресом и портом, предоставляя злоумышленникам полный контроль над устройством.
3. Защита от конкурирующих атак
Механизм challenge-response предотвращает использование скомпрометированных устройств другими злоумышленниками, что указывает на высокий уровень продуманности атаки.
Контекст и последствия
Кампания J-magic не является единичным случаем. Похожие атаки, такие как
Ссылка скрыта от гостей
, направленные на устройства Barracuda ESG в 2022 году, демонстрируют растущую угрозу для периферийной инфраструктуры. Однако на данный момент прямых связей между этими кампаниями не выявлено.Почему маршрутизаторы под ударом?
• Длительное время работы: маршрутизаторы редко перезагружаются, что делает их удобной мишенью.
• Отсутствие защиты EDR: сетевое оборудование не оснащено средствами обнаружения, аналогичными решениям для конечных устройств.
• Ключевая роль в инфраструктуре: компрометация маршрутизаторов обеспечивает злоумышленникам плацдарм для последующих атак.
