Geheime Hintertüren: Chinesische Hacker infizieren Juniper-Router

„Die eingesetzten Hintertüren hatten verschiedene Funktionen. Sie konnten sowohl aktiv als auch passiv genutzt werden und enthielten ein eingebettetes Skript, das die Protokollierung auf dem Zielgerät deaktivierte“, erklärte das Google Sicherheitsunternehmen Mandiant.

Mandiant sieht darin eine Weiterentwicklung der Taktik der Angreifer. Die Gruppe nutzte in der Vergangenheit bislang unbekannte Sicherheitslücken in Geräten von Fortinet, Ivanti und VMware, um in Netzwerke einzudringen und dauerhaft Zugriff für spätere Angriffe zu erhalten.

Die Hackergruppe wurde erstmals im September 2022 dokumentiert und gilt als äußerst erfahren. Sie ist in der Lage, gezielt Netzwerkgeräte und Virtualisierungstechnologien anzugreifen. Ihr Hauptziel sind Unternehmen aus der Verteidigungs-, Technologie- und Telekommunikationsbranche in den Vereinigten Staaten und Asien.

Ein entscheidender Vorteil für die Angreifer ist, dass viele Netzwerkgeräte am Rand eines Netzwerks kaum überwacht werden. Dadurch bleiben die Attacken oft unentdeckt, was ihnen ermöglicht, langfristig ungestört zu operieren.

„Angriffe auf Router und andere Netzwerkgeräte sind ein neuer Trend in der Cyberspionage. Sie ermöglichen den Angreifern langfristigen und weitreichenden Zugriff auf die wesentliche Infrastruktur eines Netzwerks. In Zukunft könnten solche Angriffe noch größere Schäden verursachen“, so Mandiant.

TinyShell spiel Schlüsselrolle

Die neuesten Angriffe, die Mitte 2024 entdeckt wurden, nutzen Schadsoftware, die auf TinyShell basiert. Diese Backdoor, die in der Programmiersprache C geschrieben ist, wurde bereits von anderen chinesischen Hackergruppen wie Liminal Panda und Velvet Ant eingesetzt.

„Hackergruppen wie Velvet Ant und Liminal Panda verwenden TinyShell vermutlich, weil das Tool besonders leicht und flexibel für Linux-Systeme einsetzbar ist“, so Austin Larsen, leitender Bedrohungsanalyst bei der Google Threat Intelligence Group. „Da TinyShell ein Open-Source-Tool ist, bietet es mehrere Vorteile für Angreifer: Es ist kostenlos, erfordert weniger Entwicklungsaufwand als komplett neu geschriebene Schadsoftware und erschwert es Ermittlern, die Angriffe einer bestimmten Gruppe zuzuordnen. Zudem kann TinyShell individuell angepasst werden, sodass es perfekt auf das jeweilige Zielgerät zugeschnitten werden kann. Dadurch ist es unauffälliger als komplexere Spionage-Programme wie PlugX oder ShadowPad.“

Mandiant hat sechs verschiedene Hintertüren identifiziert, die auf TinyShell basieren und jeweils eigene Funktionen besitzen:

• appid (A Poorly Plagiarized Implant Daemon): Ermöglicht Datei-Uploads und -Downloads, bietet eine interaktive Shell, einen SOCKS-Proxy und erlaubt Änderungen an wichtigen Einstellungen wie dem Steuerungsserver, der Portnummer oder dem Netzwerkinterface.
• to (TooObvious): Funktioniert genauso wie appid, verwendet jedoch eine andere Liste fest einprogrammierter Steuerungsserver.
• irad (Internet Remote Access Daemon): Eine passive Hintertür, die als Paket-Sniffer arbeitet. Sie analysiert ICMP-Datenpakete und extrahiert darin versteckte Befehle, die auf dem Zielgerät ausgeführt werden.
• lmpad (Local Memory Patching Attack Daemon): Ein Hilfsprogramm mit einer passiven Hintertür. Es kann ein externes Skript starten, um sich in legitime Prozesse von Junos OS einzuschleusen und so die Protokollierung zu unterbrechen.
• jdosd (Junos Denial of Service Daemon): Eine UDP-basierte Hintertür mit Funktionen zur Dateiübertragung und Fernsteuerung über eine Remote-Shell.
• oemd (Obscure Enigmatic Malware Daemon): Eine passive Hintertür, die über TCP mit dem Steuerungsserver kommuniziert und Standardbefehle von TinyShell unterstützt, darunter Datei-Uploads, -Downloads und die Ausführung von Shell-Befehlen.

Besonders brisant ist, dass die Malware Schutzmechanismen des Junos OS umgeht, die eigentlich verhindern sollen, dass nicht vertrauenswürdiger Code ausgeführt wird (Verified Exec, veriexec).

Die Angreifer nutzen dazu legitime Anmeldedaten, um sich über einen Terminal-Server, der für die Verwaltung von Netzwerkgeräten verwendet wird, privilegierten Zugriff auf den Router zu verschaffen. Mit diesen erweiterten Rechten schleusen sie den Schadcode direkt in den Speicher eines legitimen cat-Prozesses ein. Dadurch kann die lmpad-Hintertür aktiv bleiben, obwohl veriexec weiterhin aktiviert ist.

„Das Hauptziel dieser Malware ist es, alle Protokollierungsfunktionen zu deaktivieren, bevor sich der Angreifer mit dem Router verbindet, um manuelle Eingriffe vorzunehmen. Sobald er sich wieder abmeldet, werden die Protokolle wiederhergestellt, um Spuren zu verwischen“, so Mandiant.

Die Hackergruppe UNC3886 setzt neben den bereits bekannten Hintertüren noch weitere Werkzeuge ein:

• Reptile und Medusa: Zwei Rootkits, die tief in das System eingreifen können.
• PITHOOK: Ein Tool, das SSH-Authentifizierungen abfängt und Anmeldedaten stiehlt.
• GHOSTTOWN: Ein Programm, das forensische Analysen erschwert und Spuren verwischt.

 Nur einen Monat zuvor hatte Lumen Black Lotus Labs entdeckt, dass Juniper-Router gezielt mit einer speziellen Hintertür infiziert wurden. Diese Angriffe sind Teil der Kampagne J-magic, bei der eine Variante der bekannten cd00r-Backdoor eingesetzt wird.

Austin Larsen, Sicherheitsexperte bei Google, erklärte jedoch, dass diese Angriffswelle nicht UNC3886, sondern einer anderen Gruppe namens UNC4841 zugeschrieben wird. Es gebe keine Hinweise darauf, dass UNC4841 an den Angriffen auf die veralteten Juniper-Router beteiligt war.

„Manche Malware-Familien von UNC3886 weisen Ähnlichkeiten mit denen von UNC4841 auf. Dass sich verschiedene chinesische Cyber-Spionagegruppen ähnliche Methoden und Infrastrukturen teilen, ist jedoch nichts Ungewöhnliches“, so Larsen.

Sicherheitslücke in Junos OS ermöglicht Angriffe

 Juniper Networks hat im Juli 2024 das Projekt RedPenguin gestartet, um die Angriffe auf MX-Series-Router zu untersuchen. Dabei stellte sich heraus, dass eine Sicherheitslücke den Angreifern ermöglichte, Malware auf Routern auszuführen, die eigentlich durch veriexec geschützt sein sollten. Diese Schwachstelle trägt die Bezeichnung CVE-2025-21590 und wurde mit einer Sicherheitsbewertung von 6,7 (CVSS v4) eingestuft.

Laut Juniper Networks handelt es sich um eine unzureichende Trennung von Prozessen im Kernel von Junos OS. Dadurch können Angreifer mit hohen Systemrechten die Kontrolle über das Gerät übernehmen. „Ein Angreifer mit Zugriff auf die Shell kann beliebigen Code ausführen und so das betroffene Gerät vollständig kompromittieren“, warnt Juniper.

Sicherheitsupdates und empfohlene Maßnahmen

Die Sicherheitslücke wurde in den folgenden Junos OS-Versionen behoben:

• 21.2R3-S9, 21.4R3-S10, 22.2R3-S6, 22.4R3-S6
• 23.2R2-S3, 23.4R2-S4, 24.2R1-S2, 24.2R2, 24.4R1

Juniper rät allen Unternehmen, ihre Geräte auf die neuesten Versionen zu aktualisieren. Die Updates enthalten nicht nur Sicherheitsfixes, sondern auch neue Erkennungssignaturen für das Juniper Malware Removal Tool (JMRT).

Darüber hinaus wurden die von UNC3886 genutzten Hintertüren genauer klassifiziert:

• jdosd und irad: Remote-Zugriffswerkzeuge, die aus der Ferne Kontrolle ermöglichen.
• lmpad: Ein lokal eingesetztes Tool, das speziell für Junos OS entwickelt wurde.
• appid, to und oemd: TinyShell-basierte Fernzugriffs-Trojaner (RATs).

Alle diese Programme verfolgen dasselbe Ziel: einen dauerhaften, unbemerkten Zugang zu den betroffenen Junos OS-Geräten zu sichern.

Laut Mandiant zeigen die eingesetzten Malware-Varianten, dass UNC3886 über detaillierte Kenntnisse der Junos OS-Architektur verfügt.

„Die Gruppe legt großen Wert auf Unauffälligkeit. Sie nutzt passive Hintertüren und manipuliert Protokolldateien sowie forensische Spuren, um eine langfristige Kontrolle über die kompromittierten Geräte zu behalten, ohne entdeckt zu werden“, erklärten die Mandiant-Experten.