Nach monatelangen Ermittlungen hat Mandiant seine Erkenntnisse über eine gezielte Cyber-Spionagekampagne veröffentlicht, hinter der die mit China in Verbindung stehende Gruppierung UNC3886 steht. Der Bedrohungsakteur hat maßgeschneiderte Malware auf veralteten Junos OS-Routern von Juniper Networks installiert und sich so einen verdeckten Zugang verschafft.

In Zusammenarbeit mit Juniper Networks analysierte Mandiant die Angriffe und stellte fest, dass UNC3886 speziell auf ältere Juniper MX-Router abzielte, die mit nicht mehr unterstützter Hardware und Software liefen. Die entdeckte Malware zeigt, dass der Akteur über tiefgehende Kenntnisse der Systemarchitektur verfügt.

Um sich vor solchen Angriffen zu schützen, empfiehlt Mandiant Unternehmen, ihre Juniper-Geräte auf die neuesten Software-Versionen zu aktualisieren. Zudem sollten nach dem Upgrade ein JMRT Quick Scan sowie ein Integrity Check durchgeführt werden.

Wichtige Erkenntnisse:

• Eigenes Malware-Ökosystem von UNC3886: Mandiant entdeckte sechs verschiedene Malware-Varianten, die auf veralteten Juniper MX-Routern eingesetzt wurden. Diese basieren auf modifizierten Versionen der TINYSHELL-Backdoor und ermöglichen den Angreifern langfristigen Zugriff.
• Versteckte Hintertüren: Neben aktiven und passiven Backdoors setzt die Malware ein Skript ein, das Protokollierungsmechanismen deaktiviert und so Sicherheitsüberwachungssysteme umgeht.
• Veriexec-Sicherheitsmechanismus: Mandiant fand keine Hinweise auf eine direkte Umgehung von Veriexec, jedoch konnte der Angreifer auf End-of-Life-Routern Root-Zugriff erlangen und ausführbare Backdoors installieren.
• Neue Angriffstaktiken: Während sich UNC3886 zuvor auf Netzwerk-Edge-Geräte konzentrierte, zeigt diese Kampagne, dass nun auch interne Netzwerkinfrastrukturen – insbesondere Router von Internetdienstanbietern – ins Visier geraten.

Juniper Networks rät allen Kunden dringend, ihre Netzwerkgeräte auf aktuelle Versionen mit den neuesten Sicherheits-Patches zu bringen. Der vollständige Bericht auf dem Google Cloud Blog enthält eine detaillierte Analyse der Malware, Indikatoren für eine Gefährdung (Indicators of Compromise, IOCs) sowie weitere Sicherheitsmaßnahmen.