Mandiant a travaillé avec Juniper Networks pour enquêter sur cette activité et a observé que les routeurs Juniper MX ciblés par UNC3886 utilisaient du matériel et des logiciels en fin de vie. Les chercheurs notent que les échantillons de logiciels malveillants personnalisés utilisés par UNC3886 démontrent que l’auteur de la menace « a une connaissance approfondie des éléments internes des systèmes avancés ».

Mandiant recommande aux entreprises de mettre à jour leurs équipements Juniper avec les dernières images publiées par Juniper Networks, qui incluent des mesures d’atténuation et des signatures mises à jour pour l’outil Juniper Malware Removal Tool (JMRT). Les entreprises doivent exécuter le Quick Scan et le Integrity Check de JMRT après la mise à jour.

Principaux détails :

UNC3886 utilise un écosystème de logiciels malveillants personnalisé : Mandiant a découvert six variantes distinctes de logiciels malveillants déployées sur plusieurs routeurs Juniper MX en fin de vie, chacune étant une version modifiée de la porte dérobée TINYSHELL, afin d’accéder à ces appareils et d’y persister.
Il s’agit de portes dérobées actives et passives, ainsi que d’un script intégré qui désactive les mécanismes de journalisation, ce qui a pour effet d’aveugler les systèmes de surveillance de la sécurité.
Veriexec, le mécanisme de sécurité intégré de Junos OS : Mandiant n’a pas observé de preuves indiquant une exploitation réussie des techniques de contournement de veriexec déjà traitées par Juniper dans les logiciels et le matériel pris en charge. Cependant, outre la nouvelle technique d’injection de processus décrite dans le blog, l’infection des routeurs Juniper MX compromis indique que l’acteur de la menace a déployé avec succès des portes dérobées exécutables. Mandiant a identifié que l’acteur de la menace avait un accès root aux appareils concernés.
Évolution des TTP : Alors que UNC3886 concentrait auparavant ses opérations sur les dispositifs de périphérie de réseau, cette dernière activité montre qu’il cible également l’infrastructure de réseau interne, comme les routeurs des fournisseurs d’accès à Internet, ce qui pourrait avoir des conséquences importantes en cas de succès.

Cette campagne souligne également l’importance de la mise à jour des équipements de réseau. Mandiant et Juniper Networks recommandent aux entreprises de mettre à jour leurs équipements de réseau avec les derniers correctifs de sécurité que Juniper Networks publiera ultérieurement.

Les clients de Juniper Networks sont vivement encouragés à examiner et à appliquer ces recommandations.

L’étude complète comprend une analyse détaillée du logiciel malveillant, des indicateurs de compromission (IOC) et des recommandations supplémentaires pour sécuriser l’infrastructure du réseau.