Un nuevo análisis de Mandiant revela que actores de espionaje de estados-nación chinos han implementado malware de puerta trasera en routers con sistema operativo (SO) Junos de Juniper Networks.

Se ha instado a las organizaciones afectadas a actualizar sus dispositivos Juniper a las últimas imágenes publicadas por la empresa, que incluyen mitigaciones y firmas actualizadas.

Los routers Juniper afectados utilizaban hardware y software al final de su vida útil.

El sistema operativo Junos de Juniper Networks es un sistema operativo propietario que impulsa la mayoría de los dispositivos de enrutamiento, conmutación y seguridad de Juniper. Se utiliza en una amplia gama de sectores importantes, como telecomunicaciones, centros de datos, redes empresariales, proveedores de servicios, computación en la nube y administración pública.

La actividad se ha atribuido a un grupo de espionaje chino, rastreado por Mandiant como UNC3886. Este grupo se centra en el robo y el uso de credenciales legítimas para operar lateralmente dentro de las redes y mantener acceso a largo plazo a los sistemas de sus víctimas.

Históricamente, este grupo de espionaje ataca dispositivos de red y tecnologías de virtualización con exploits de día cero.

Se dirige principalmente a organizaciones de los sectores de defensa, tecnología y telecomunicaciones.

Mandiant afirmó que los hallazgos demuestran cómo los actores de espionaje chinos están expandiendo sus ataques a la infraestructura de red más allá de los dispositivos periféricos, incluyendo la infraestructura de red interna, como los enrutadores de los proveedores de servicios de Internet (ISP).

Los investigadores identificaron seis muestras de malware distintas en varios enrutadores Juniper, cada una de las cuales era una versión modificada de una puerta trasera TinyShell.

TinyShell es una puerta trasera de código abierto escrita en C que se comunica mediante un protocolo binario personalizado.

Las puertas traseras implementadas basadas en TinyShell tenían diversas capacidades personalizadas. Estas incluyen funciones de puerta trasera activas y pasivas, y un script integrado que desactiva los mecanismos de registro en el dispositivo objetivo.

Mandiant estableció varias medidas para mitigar la vulneración de enrutadores de red. Estas incluyen:

• Implementar un sistema centralizado de gestión de identidades y accesos (IAM) con autenticación multifactor (MFA) robusta y control de acceso basado en roles (RBAC) granular para la gestión de dispositivos de red.
• Implementar una gestión de configuración de red que admita la validación de la configuración según plantillas y estándares definidos.
  Introducir soluciones de monitorización mejoradas con un proceso para revisar periódicamente la eficacia de la detección.
• Priorizar la aplicación de parches y la mitigación de vulnerabilidades en dispositivos de red, incluyendo aquellos en sistemas operativos menos conocidos.
• Implementar un programa de gestión del ciclo de vida de los dispositivos que incluya monitorización proactiva, actualizaciones de software automatizadas y planificación de reemplazo al final de su vida útil (EOL).
• Aprovechar la inteligencia proactiva sobre amenazas para evaluar y mejorar continuamente la eficacia de los controles de seguridad contra amenazas emergentes.