Перейти к содержимому

Китайские хакеры взломали маршрутизаторы Juniper и использовали их в целях шпионажа

В современном мире одной из самых серьезных угроз кибербезопасности являются атаки, нацеленные на сетевую инфраструктуру. В середине 2024 года было выявлено, что в операционной системе Junos OS от Juniper Networks были установлены бэкдоры (backdoor), позволяющие злоумышленникам получать скрытый доступ. Эта атака была совершена шпионской группой UNC3886, связанной с Китаем и финансируемой государством.

Этот инцидент представляет серьезную угрозу для телекоммуникационной и национальной безопасности, особенно учитывая, что целью атак стали устаревшие и больше не поддерживаемые устройства.

🔍 Детали атаки: кто, как и на какие устройства напал?

🔴 Какие устройства были атакованы? Маршрутизаторы серии Juniper Networks MX.
🔴 Почему они стали целью? Эти устройства работали на устаревшем аппаратном и программном обеспечении, что делало их уязвимыми для современных эксплойтов.
🔴 Кто совершил атаку? Хакерская группа UNC3886, связанная с Китаем.
🔴 Как им удалось проникнуть? Злоумышленники использовали действительные учетные данные для получения привилегированного доступа.

По данным экспертов Google Mandiant, на скомпрометированных маршрутизаторах были обнаружены несколько вредоносных программ (backdoor), основанных на TINYSHELL. Их основная цель — обеспечить долговременный скрытый доступ, избегать обнаружения и похищать конфиденциальную информацию.

🛑 Наиболее опасные уязвимости и эксплойты

Одна из самых тревожных сторон этой атаки — обход систем безопасности Juniper Networks. Хакеры UNC3886 использовали уязвимость CVE-2025-21590, которая позволила им обойти защитный механизм Verified Exec (veriexec).

Veriexec — это система контроля целостности файлов на уровне ядра, предназначенная для предотвращения выполнения неизвестного кода. Однако хакеры нашли способ внедрения вредоносных программ в операционную систему Junos OS.

🔬 Вредоносные программы и их возможности

Хакеры модифицировали исходный код TINYSHELL, адаптировав его под Junos OS и создав опасные бэкдоры. Самые серьезные из них:

1️⃣ “appid” – соединяется с серверами TCP://129.126.109.50:22 и TCP://116.88.34.184:22, шифрует весь трафик с использованием AES и управляет зараженным устройством удаленно.

2️⃣ “lmpad” – скрывает следы атак, удаляя записи из логов. Выполняет команды:

Эти действия позволяют злоумышленникам работать незаметно, скрывая свою активность в системных журналах.

3️⃣ Дополнительные вредоносные команды:

  • tshd_get_file – загрузка файлов на сервер
  • tshd_put_file – скачивание файлов с сервера
  • tshd_runshell – запуск командной оболочки /bin/sh
  • tshd_setproxy – настройка прокси-сервера (Socks)
  • tshd_config – изменение конфигурации

Эта атака показывает, что шпионские операции, направленные на сетевую инфраструктуру, становятся все более сложными. Поскольку маршрутизаторы Juniper MX широко используются в корпоративных и государственных сетях, их взлом может привести к утечке критически важной информации.

Хакеры получили возможность:
✅ Долговременного доступа к конфиденциальным данным компаний и госструктур
✅ Перехвата трафика и взлома зашифрованных соединений
✅ Использования зараженных устройств в качестве прокси-серверов для распространения вредоносного ПО

В худшем случае эта угроза может повлиять на телекоммуникационные системы разных стран или привести к компрометации государственной информации.

🔐 Рекомендации по защите

1. Срочно обновите устройства Juniper!
Juniper Networks выпустила обновления для устранения уязвимостей. Рекомендуется установить версию Junos OS 6.2.0 или новее.

2. Включите мониторинг сети!
Следите за подозрительными изменениями в логах, особенно:

  • Внезапное повышение привилегий администратора
  • Попытки выхода в сеть через прокси
  • Подключения к неизвестным IP-адресам по зашифрованным каналам

3. Проверьте учетные записи и аутентификацию!
Чтобы предотвратить несанкционированный доступ:

  • Удалите ненужные учетные записи
  • Включите двухфакторную аутентификацию (2FA)
  • Разрешите доступ к маршрутизаторам только через VPN

4. Рекомендации для государственных учреждений и крупных компаний
Если ваша организация использует устройства Juniper:

  • Усильте сегментацию сети
  • Используйте системы обнаружения атак (IDS/IPS)
  • Защитите соединения с помощью VPN и шифрования

Этот инцидент еще раз доказывает, что устаревшие устройства и слабые меры безопасности создают огромные риски для кибербезопасности. Если не принять меры и не обновить защиту маршрутизаторов Juniper Networks, последствия могут быть катастрофическими! 🚨