Les routeurs Juniper ciblés par un malware furtif exploitant des paquets magiques !
Une campagne nommée J-magic cible les routeurs Juniper Networks dans le but de déployer une porte dérobée ! Voici ce que l'on sait sur cette menace.
L'équipe Black Lotus Labs de chez Lumen Technologies a publié un rapport au sujet de cette campagne qu'elle a elle-même surnommée J-magic. Si ce nom a été retenu, ce n'est pas un hasard : la porte dérobée (backdoor) déployée par les pirates surveille en permanence le trafic réseau TCP pour détecter un éventuel paquet magique envoyé par l'attaquant (et donc une action à exécuter).
"La campagne J-magic est un cas rare d'un logiciel malveillant conçu spécifiquement pour JunoOS", précise le rapport publié par les chercheurs en sécurité. Il a été détecté sur VirusTotal, suite à l'analyse d'un échantillon déposé par un tiers. Ce fichier portait le nom de "JunoscriptService", qui imite le nom du service d'automatisation du système Junos, basé sur FreeBSD.
Le logiciel malveillant permet aux attaquants de prendre le contrôle de l'équipement Juniper, via un mécanisme relativement sophistiqué. Il se présente sous la forme d'un agent, qui est une variante de la porte dérobée cd00r.
En pratique, lorsqu’un "magic packet" est reçu, la porte dérobée envoie un challenge secondaire à l'attaquant avant d'établir un reverse shell vers l’adresse IP et le port spécifiés. Ce second challenge est une sécurité pour les pirates : il est utilisé pour éviter que d'autres cybercriminels puissent tirer profit de la compromission de l'appareil. In fine, ce processus permet aux cybercriminels de contrôler les appareils, de voler des données ou de déployer d’autres charges malveillantes.
Quelles sont les cibles ? Comment se protéger ?
D'après l'analyse approfondie effectuée par Lumen Technologies, cette campagne malveillante n'est pas nouvelle. En effet, plusieurs preuves montrent que le premier échantillon de la porte dérobée remonte à septembre 2023. L'activité s'est poursuivie au moins jusqu'à mi-2024.
Les pirates ne semblent pas se concentrer sur un pays en particulier. Il y a eu des infections dans le monde entier, y compris en Europe, en Asie et en Amérique du Sud. La majorité des adresses IP touchées seraient des routeurs Juniper utilisées en tant que passerelles VPN, soit 50% des cas observés. Dans d'autres cas, il peut s'agir de routeurs dont le port NETCONF est exposé.
Le rapport des chercheurs en sécurité ne fait référence à aucune faille de sécurité. L'explication est d'ailleurs fournie : "À l'heure actuelle, nous ne sommes pas en mesure de déterminer la méthode d'accès initiale." - Il pourrait donc s'agir d'une faille zero-day ou tout simplement de profiter de la mauvaise configuration de certains appareils (un mot de passe faible, par exemple).
