Οι δρομολογητές Juniper Networks για επιχειρήσεις, έχουν γίνει στόχος ενός προσαρμοσμένου backdoor ως μέρος μιας καμπάνιας που ονομάζεται J-magic.
Δείτε επίσης: Οι hackers Cloud Atlas χρησιμοποιούν ευπάθεια Microsoft Office για διανομή backdoors

Σύμφωνα με την ομάδα Black Lotus Labs της Lumen Technologies, η δραστηριότητα ονομάζεται έτσι για το γεγονός ότι το backdoor παρακολουθεί συνεχώς για ένα “magic packet” που αποστέλλεται από τον παράγοντα απειλής στην κυκλοφορία TCP.
Τα στοιχεία που συγκέντρωσε η εταιρεία δείχνουν ότι το αρχαιότερο δείγμα του backdoor που επηρεάζει τους δρομολογητές Juniper Networks, χρονολογείται από τον Σεπτέμβριο του 2023, με τη δραστηριότητα να συνεχίζεται από τα μέσα του 2023 έως τα μέσα του 2024. Οι τομείς των ημιαγωγών, της ενέργειας, της μεταποίησης και της τεχνολογίας πληροφοριών (IT) ήταν οι πιο στοχευμένοι.
Μολύνσεις έχουν αναφερθεί σε όλη την Ευρώπη, την Ασία και τη Νότια Αμερική, συμπεριλαμβανομένης της Αργεντινής, της Αρμενίας, της Βραζιλίας, της Χιλής, της Κολομβίας, της Ινδονησίας, της Ολλανδίας, της Νορβηγίας, του Περού, του Ηνωμένου Βασιλείου, των ΗΠΑ και της Βενεζουέλας.
Δείτε ακόμα: Οι Κινέζοι hackers Winnti στοχεύουν άλλους hackers με το Glutton backdoor
Η καμπάνια είναι αξιοσημείωτη για την ανάπτυξη ενός πράκτορα μετά την απόκτηση αρχικής πρόσβασης μέσω μιας απροσδιόριστης ακόμη μεθόδου. Ο πράκτορας, μια παραλλαγή ενός σχεδόν 25χρονου, δημοσίως διαθέσιμου backdoor που αναφέρεται ως cd00r, περιμένει πέντε διαφορετικές προκαθορισμένες παραμέτρους πριν ξεκινήσει τη λειτουργία του.

Κατά την παραλαβή αυτών των magic packets, ο πράκτορας ρυθμίζεται να στέλνει πίσω μια δευτερεύουσα πρόκληση, μετά την οποία το J-magic δημιουργεί ένα αντίστροφο κέλυφος στη διεύθυνση IP και στη θύρα, που καθορίζονται στο magic packet. Αυτό επιτρέπει στους εισβολείς να ελέγχουν τη συσκευή, να κλέβουν δεδομένα ή να αναπτύσσουν πρόσθετα ωφέλιμα φορτία.
Ο Lumen θεώρησε ότι η συμπερίληψη της πρόκλησης είναι μια προσπάθεια εκ μέρους του χάκερ να αποτρέψει άλλους παράγοντες απειλής από το να εκδώσουν magic packets με αδιάκριτο τρόπο και να επαναπροσδιορίσουν τους πράκτορες J-magic για να επιτύχουν τους δικούς τους στόχους.
Καθώς οι δρομολογητές Juniper Networks, καταχρώνται από παράγοντες εθνικών κρατών που προετοιμάζονται για επακόλουθες επιθέσεις, τα τελευταία ευρήματα σχετικά με το backdoor, υπογραμμίζουν τη συνεχιζόμενη στόχευση της υποδομής αιχμής, σε μεγάλο βαθμό λόγω του μεγάλου χρόνου λειτουργίας και της έλλειψης προστασίας ανίχνευσης και απόκρισης τελικού σημείου (EDR) σε τέτοιες συσκευές.
Δείτε επίσης: H DCOM επίθεση αξιοποιεί το Windows Installer για Backdoor πρόσβαση
Τα backdoor είναι κρυφές μέθοδοι παράκαμψης του τακτικού ελέγχου ταυτότητας ή των ελέγχων πρόσβασης σε ένα σύστημα, που συχνά υλοποιούνται για την παροχή μη εξουσιοδοτημένης πρόσβασης. Αυτά τα τρωτά σημεία μπορούν να εγκατασταθούν σκόπιμα από προγραμματιστές κατά την ανάπτυξη εφαρμογών ή να εισαχθούν με κακόβουλο τρόπο από εισβολείς. Τα backdoor ενέχουν σημαντικούς κινδύνους για την ασφάλεια, καθώς μπορούν να επιτρέψουν σε μη εξουσιοδοτημένους χρήστες να κλέψουν ευαίσθητα δεδομένα, να χειραγωγήσουν συστήματα ή να αποκτήσουν έλεγχο σε κρίσιμες υποδομές. Ο εντοπισμός και ο μετριασμός των backdoor απαιτεί διεξοδικούς ελέγχους ασφαλείας, τακτικές ενημερώσεις και κατάλληλες πρακτικές παρακολούθησης για τη διασφάλιση της ακεραιότητας του συστήματος και της προστασίας από εκμεταλλεύσεις.
Πηγή: thehackernews