UNC3886 साइबर जासूसी समूह

चीन से जुड़ी साइबर जासूसी इकाई UNC3886 सक्रिय रूप से कस्टम बैकडोर तैनात करने के लिए एंड-ऑफ-लाइफ MX राउटर को लक्षित कर रही है। यह अभियान सक्रिय और निष्क्रिय दोनों क्षमताओं वाले बैकडोर का उपयोग करके आंतरिक नेटवर्किंग बुनियादी ढांचे में घुसपैठ करने की उनकी क्षमता को रेखांकित करता है। कुछ वेरिएंट में लॉगिंग मैकेनिज्म को बंद करने के लिए डिज़ाइन की गई एम्बेडेड स्क्रिप्ट भी होती हैं, जिससे हमलावरों को बिना पकड़े काम करने की अनुमति मिलती है।

एक उभरता हुआ ख़तरा समूह

UNC3886 का फोर्टिनेट, इवान्टी और VMware डिवाइस में शून्य-दिन की कमज़ोरियों का लाभ उठाकर नेटवर्क में सेंध लगाने और दीर्घकालिक स्थिरता स्थापित करने का इतिहास रहा है। यह नवीनतम ऑपरेशन उनकी तकनीकों के विकास को दर्शाता है, जो नेटवर्किंग हार्डवेयर पर ध्यान केंद्रित करता है जिसमें अक्सर सुरक्षा निगरानी की कमी होती है।

सितंबर 2022 में अपनी पहली प्रलेखित गतिविधि के बाद से, UNC3886 ने अमेरिका और एशिया में रक्षा, प्रौद्योगिकी और दूरसंचार क्षेत्रों को लक्ष्य करते हुए एज डिवाइस और वर्चुअलाइजेशन प्रौद्योगिकियों को लक्षित करने में उच्च दक्षता का प्रदर्शन किया है।

रूटिंग डिवाइस क्यों?

जासूसी से प्रेरित विरोधी हाल ही में रूटिंग डिवाइस से समझौता करने की ओर बढ़ गए हैं। महत्वपूर्ण बुनियादी ढांचे पर नियंत्रण प्राप्त करके, हमलावर लंबे समय तक पहुंच बनाए रख सकते हैं, साथ ही भविष्य में विघटनकारी गतिविधियों को संचालित करने की क्षमता भी रखते हैं।

टाइनीशेल कनेक्शन: एक पसंदीदा हथियार

2024 के मध्य में पता चली नवीनतम गतिविधि में टिनीशेल पर आधारित प्रत्यारोपण शामिल हैं, जो एक हल्का सी-आधारित बैकडोर है जिसे लिमिनल पांडा और वेलवेट एंट जैसे चीनी हैकिंग समूहों द्वारा पसंद किया जाता है। टिनीशेल की ओपन-सोर्स प्रकृति इसे एक व्यावहारिक विकल्प बनाती है, जो एट्रिब्यूशन को जटिल बनाते हुए अनुकूलन की आसानी प्रदान करती है।

सुरक्षा शोधकर्ताओं ने टाइनीशेल पर आधारित छह अलग-अलग बैकडोर की पहचान की है, जिनमें से प्रत्येक की अपनी कार्यक्षमता है:

• appid (एक खराब साहित्यिक चोरी वाला इम्प्लांट डेमॉन) - फ़ाइल स्थानांतरण, इंटरैक्टिव शेल, SOCKS प्रॉक्सी और C2 कॉन्फ़िगरेशन परिवर्तन प्रदान करता है।
• to (TooObvious) - appid के समान लेकिन अलग हार्डकोडेड C2 सर्वर के साथ।
• irad (इंटरनेट रिमोट एक्सेस डेमॉन) - ICMP पैकेट के माध्यम से पैकेट सूँघने का उपयोग करके एक निष्क्रिय बैकडोर के रूप में कार्य करता है।
• lmpad (स्थानीय मेमोरी पैचिंग अटैक डेमॉन) - लॉगिंग से बचने के लिए प्रक्रिया इंजेक्शन का उपयोग करता है।
• jdosd (जूनोस डेनियल ऑफ सर्विस डेमॉन) - रिमोट शेल क्षमताओं वाला एक UDP बैकडोर।
• oemd (अस्पष्ट रहस्यमय मैलवेयर डेमॉन) - C2 सर्वर के साथ संचार करने के लिए TCP का उपयोग करने वाला एक निष्क्रिय बैकडोर।

जूनोस ओएस सुरक्षा संरक्षण को दरकिनार करना

हमलावरों ने जूनोस ओएस के सत्यापित निष्पादन (वेरिएक्सेक) सुरक्षा के बावजूद मैलवेयर निष्पादित करने के तरीके विकसित किए हैं, जो अनधिकृत कोड निष्पादन को रोकने के लिए डिज़ाइन किए गए हैं। टर्मिनल सर्वर के माध्यम से विशेषाधिकार प्राप्त पहुँच प्राप्त करके, वे वैध प्रक्रियाओं में दुर्भावनापूर्ण पेलोड इंजेक्ट करते हैं, जिससे पता लगाने से बचते हुए निरंतरता सुनिश्चित होती है।

आक्रमण शस्त्रागार में और अधिक उपकरण

टाइनीशेल बैकडोर के अलावा, UNC3886 अतिरिक्त उपकरण तैनात करता है:

• सरीसृप और मेडुसा - गुप्त दृढ़ता के लिए रूटकिट्स।
• PITHOOK - SSH प्रमाणीकरण को हाईजैक करने और क्रेडेंशियल्स को कैप्चर करने के लिए उपयोग किया जाता है।
• घोस्टटाउन - फोरेंसिक विरोधी उद्देश्यों के लिए डिज़ाइन किया गया।

जुनिपर डिवाइस का उपयोग करने वाले संगठनों को इन खतरों को कम करने के लिए उन्हें नवीनतम फर्मवेयर संस्करणों में अपडेट करने की दृढ़ता से सलाह दी जाती है।

एक और हमला, एक और खतरा?

दिलचस्प बात यह है कि जे-मैजिक नामक एक अलग अभियान ने cd00r नामक बैकडोर वैरिएंट का उपयोग करके एंटरप्राइज़-ग्रेड जुनिपर राउटर को लक्षित किया है। हालाँकि, इस गतिविधि को चीन से जुड़े एक अलग समूह, UNC4841 के लिए जिम्मेदार ठहराया गया है, जिसका UNC3886 के एंड-ऑफ़-लाइफ जुनिपर राउटर को लक्षित करने से कोई ज्ञात संबंध नहीं है।

दृढ़ता के लिए CVE-2025-21590 का उपयोग करना

जुनिपर नेटवर्क ने पुष्टि की है कि हाल ही में हुए संक्रमणों ने कम से कम एक भेद्यता का फायदा उठाया है—CVE-2025-21590 (CVSS v4 स्कोर: 6.7)। जूनोस ओएस कर्नेल में पाया गया यह दोष उच्च-विशेषाधिकार प्राप्त हमलावरों को मनमाना कोड इंजेक्ट करने की अनुमति देता है, जिससे अंततः डिवाइस की अखंडता से समझौता होता है।

पैच Junos OS संस्करण 21.2R3-S9, 21.4R3-S10, 22.2R3-S6, 22.4R3-S6, 23.2R2-S3, 23.4R2-S4, 24.2R1-S2, 24.2R2, और 24.4R1 में जारी किए गए हैं। संगठनों को यह सुनिश्चित करना चाहिए कि वे इन अपडेट किए गए संस्करणों को चला रहे हैं।

UNC3886: चुपके और दृढ़ता के स्वामी

उन्नत सिस्टम आंतरिक में UNC3886 की विशेषज्ञता निष्क्रिय बैकडोर, लॉग टैम्परिंग और फोरेंसिक चोरी के अपने रणनीतिक उपयोग में स्पष्ट है। इसका प्राथमिक लक्ष्य पहचान जोखिमों को कम करते हुए दीर्घकालिक दृढ़ता है, जो एक सतत और महत्वपूर्ण साइबर सुरक्षा चुनौती है।