O grupo de espionagem cibernética UNC3886, vinculado à China, tem sido identificado atacando roteadores MX obsoletos da Juniper Networks. Essa operação tem como objetivo implantar backdoors personalizados, demonstrando a sofisticação dos invasores ao comprometer infraestruturas críticas de redes internas.
Ataque direcionado a roteadores desatualizados
Segundo a Mandiant, empresa de inteligência de ameaças do Google, os backdoors identificados possuem funcionalidades avançadas. Entre elas, estão mecanismos ativos e passivos de intrusão e scripts que desativam registros do dispositivo, dificultando a detecção do ataque.
O UNC3886 tem um histórico de exploração de vulnerabilidades zero-day em dispositivos de redes como Fortinet, Ivanti e VMware. Esse grupo foca em comprometer organizações dos setores de defesa, tecnologia e telecomunicações, especialmente nos Estados Unidos e na Ásia.
Uma das razões para o sucesso desses ataques é a falta de monitoramento de segurança nesses roteadores de borda. Isso permite que os invasores operem por longos períodos sem serem detectados, garantindo acesso persistente à infraestrutura comprometida.
Uso de backdoors avançados
O ataque mais recente, identificado em meados de 2024, envolve implantes baseados no TinyShell, um backdoor escrito em C. Seis variantes distintas foram detectadas, cada uma com funções específicas:
- appid: permite upload/download de arquivos, shell interativo e configuração de servidores C2.
- para: similar ao appid, mas com servidores C2 diferentes.
- irad: atua como farejador de pacotes para executar comandos ICMP.
- lmpad: realiza injeção de código em processos do Junos OS.
- jdosd: backdoor UDP com funcionalidades de transferência de arquivos.
- oemd: comunicação com servidores C2 via TCP.
Além disso, os hackers utilizam métodos avançados para contornar as proteções do sistema Junos OS, como a ferramenta Veriexec, que impede a execução de código não confiável. Através do uso de credenciais legítimas, os invasores injetam cargas maliciosas na memória do sistema para garantir a persistência do backdoor.
Notícias Relacionadas
Desenvolvedor do LockBit
Suposto desenvolvedor do LockBit é extraditado para os EUA por crimes cibernéticos
Rostislav Panev, suposto desenvolvedor do ransomware LockBit, foi extraditado para os EUA após sua prisão em Israel. Ele é acusado de projetar malware e facilitar ataques cibernéticos, enquanto as autoridades reforçam o combate a crimes digitais.
Cibersegurança Avançada
Novo ransomware SuperBlack explora vulnerabilidades da Fortinet para ataques sofisticados
O ransomware SuperBlack, operado pelo grupo Mora_001, está explorando vulnerabilidades da Fortinet para comprometer firewalls e realizar ataques sofisticados. A análise aponta ligação com o LockBit e destaca um processo estruturado de invasão e criptografia.
Técnicas para ocultação e persistência
Os hackers têm como principal objetivo desativar todos os registros do sistema antes de iniciar suas atividades, restaurando-os apenas após a desconexão, dificultando a detecção do ataque.
Além dos backdoors, o UNC3886 emprega ferramentas como:
- Reptile e Medusa: rootkits para ocultação de atividades.
- PITHOOK: captura credenciais SSH.
- GHOSTTOWN: técnicas antiforenses.
Medidas de proteção
Para mitigar o risco desses ataques, especialistas recomendam a atualização imediata dos dispositivos Juniper para as versões mais recentes. A Juniper Networks já disponibilizou patches de segurança e assinaturas para a ferramenta Juniper Malware Removal Tool (JMRT), ajudando na remoção dessas ameaças.
A descoberta dessa campanha ocorre logo após a revelação de outro ataque semelhante, chamado J-magic, no qual hackers implantaram um backdoor personalizado em roteadores da Juniper Networks.
Segundo a Mandiant, o UNC3886 demonstra um conhecimento profundo da arquitetura interna dos dispositivos atacados, priorizando técnicas furtivas para garantir persistência sem ser detectado. Essa abordagem reforça a necessidade de medidas proativas de segurança para evitar comprometimentos de longo prazo em infraestruturas críticas.
