| Mandiant hat aufgedeckt, dass chinesische Hacker Juniper Networks mit hochentwickelter Malware angreifen und unterstreicht damit die Notwendigkeit von Firmware-Upgrades und verbesserter Sicherheit. | Mandiant reveals that Chinese hackers are targeting Juniper Networks with advanced malware, underscoring the need for firmware upgrades and enhanced security. |
| Eine in China ansässige Cyberspionage-Gruppe, die als UNC3886 identifiziert wurde, greift die weit verbreiteten Junos OS-Router von Juniper Networks an, indem sie Hintertüren verwendet, die speziell für veraltete Hardware entwickelt wurden. Die Gruppe wurde Mitte 2014 von Google Mandiant-Forschern entdeckt und konzentrierte ihre Aktivitäten hauptsächlich auf Telekommunikations-, Verteidigungs- und Technologieunternehmen, insbesondere in den USA und Asien.
UNC3886 ist für ihre fortschrittlichen Angriffsmethoden bekannt und hat in der Vergangenheit bereits Netzwerkgeräte und Virtualisierungstechnologien ausgenutzt, wobei sie sich häufig Zero-Day-Schwachstellen zunutze machte. In diesem Fall hatten es die Hacker speziell auf ausgediente Juniper MX Router mit veralteter Hard- und Software abgesehen. Um in die Geräte einzudringen, nutzte UNC3886 mindestens sechs verschiedene Backdoor-Varianten, die auf TINYSHELL, einem leichtgewichtigen Kommandozeilentool, basieren. Die Malware ist hoch entwickelt und ermöglicht den Fernzugriff und die Ausführung von Befehlen. Die von der Gruppe verwendeten Hintertüren verfügen über Funktionen zur Manipulation von Protokollen, die es den Angreifern ermöglichen, sich langfristig Zugang zu verschaffen und gleichzeitig einer Entdeckung zu entgehen. Einer der beunruhigendsten Aspekte dieser Angriffe ist die Fähigkeit der Gruppe, Veriexec zu umgehen, eine wichtige Sicherheitsfunktion des Junos-Betriebssystems, die vor Code-Manipulation schützt. UNC3886 nutzt ältere Hard- und Softwareschwachstellen aus, um Root-Zugriff zu erlangen und seinen Schadcode in den Speicher einzubetten, so dass er von Sicherheitsmaßnahmen nicht erkannt wird. Die Untersuchung von Mandiant hat mehrere Typen von Hintertüren mit jeweils einzigartigen Merkmalen ergeben. Zwei Varianten namens „appid“ und „to“ verwenden beispielsweise AES-Verschlüsselung für die sichere Kommunikation mit Befehls- und Kontrollservern und ermöglichen die Ausführung einer Vielzahl von TINYSHELL-Befehlen. Eine andere Variante, „irad“, fungiert als Paket-Sniffer, der seine Hintertür nur dann aktiviert, wenn bestimmter Netzwerkverkehr erkannt wird. Am beunruhigendsten ist vielleicht, dass die Variante „impad“ darauf ausgelegt ist, die Systemprotokollierung zu deaktivieren und Warnmeldungen zu unterdrücken, damit die Angreifer bei ihren Aktivitäten unentdeckt bleiben können. Diese Taktik erhöht die Fähigkeit der Gruppe, sich über längere Zeiträume im Zielnetzwerk aufzuhalten, ohne Verdacht zu erregen. Mandiant hat eng mit Juniper Networks zusammengearbeitet, um diese Schwachstellen zu beheben, und empfiehlt Unternehmen dringend, ihre Geräte auf die neueste Firmware zu aktualisieren. Der Bericht empfiehlt auch die Verbesserung der allgemeinen Cybersicherheitspraktiken, einschließlich der Verwendung fortschrittlicher sicherer Authentifizierungswerkzeuge. |
A China-based cyber espionage group, identified as UNC3886, has been targeting Juniper Networks‚ widely deployed Junos OS routers using custom backdoors designed for aging hardware. Discovered by Google Mandiant researchers in mid-2014, the group’s operations have primarily focused on telecommunications, defense, and technology organizations, particularly in the U.S. and Asia.
Known for its advanced attack methods, UNC3886 has a history of exploiting network devices and virtualization technologies, often using zero-day vulnerabilities. In this case, the hackers specifically targeted end-of-life Juniper MX routers running outdated hardware and software. To infiltrate the devices, UNC3886 used at least six different backdoor variants based on TINYSHELL, a lightweight command line interface tool. The malware is sophisticated, allowing remote access and command execution. Notably, the backdoors used by the group include log manipulation capabilities, making it easier for attackers to maintain long-term access while avoiding detection. One of the most concerning aspects of these attacks is the group’s ability to bypass Veriexec, a critical Junos OS security feature that protects against code tampering. By exploiting legacy hardware and software vulnerabilities, UNC3886 gains root access and embeds its malicious code in memory, avoiding detection by security defenses. Mandiant’s investigation revealed several types of backdoors, each with unique characteristics. For example, two variants, dubbed „appid“ and „to,“ use AES encryption for secure communication with command and control servers and allow execution of a variety of TINYSHELL commands. Another variant, „irad“, acts as a packet sniffer, activating its backdoor only when specific network traffic is detected. Perhaps most concerning, the „Impad“ variant is designed to disable system logging and suppress alerts, allowing the attackers to maintain a low profile while conducting their activities. This tactic increases the group’s ability to remain within the targeted network for extended periods of time without raising suspicion. Mandiant has worked closely with Juniper Networks to address these vulnerabilities and strongly recommends that organizations upgrade to the latest device firmware. The report also recommends improving overall cybersecurity practices, including the use of advanced secure authentication tools. |
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de