UNC3886 साइबर जासुसी समूह
चीनसँग सम्बन्धित साइबर जासूसी संस्था UNC3886 ले सक्रिय रूपमा अन्तिम-जीवन MX राउटरहरूलाई अनुकूलन ब्याकडोरहरू तैनाथ गर्न लक्षित गर्दै आएको छ। यो अभियानले सक्रिय र निष्क्रिय दुवै क्षमताहरू भएका ब्याकडोरहरू प्रयोग गरेर आन्तरिक नेटवर्किङ पूर्वाधारमा घुसपैठ गर्ने तिनीहरूको क्षमतालाई जोड दिन्छ। केही भेरियन्टहरूमा लगिङ संयन्त्रहरू बन्द गर्न डिजाइन गरिएको एम्बेडेड स्क्रिप्टहरू पनि हुन्छन्, जसले आक्रमणकारीहरूलाई पत्ता नलागेर सञ्चालन गर्न अनुमति दिन्छ।
सामग्रीको तालिका
विकसित हुँदै गइरहेको खतरा समूह
UNC3886 सँग फोर्टिनेट, इभान्टी, र VMware उपकरणहरूमा शून्य-दिनको कमजोरीहरूको फाइदा उठाएर नेटवर्कहरू तोड्न र दीर्घकालीन स्थिरता स्थापित गर्ने इतिहास छ। यो पछिल्लो अपरेशनले उनीहरूको प्रविधिहरूको विकासलाई प्रतिनिधित्व गर्दछ, नेटवर्किङ हार्डवेयरमा केन्द्रित छ जसमा प्रायः सुरक्षा अनुगमनको अभाव हुन्छ।
सेप्टेम्बर २०२२ मा आफ्नो पहिलो दस्तावेजीकृत गतिविधिदेखि, UNC3886 ले अमेरिका र एसियामा रक्षा, प्रविधि र दूरसञ्चार क्षेत्रहरूलाई लक्षित गर्दै एज उपकरणहरू र भर्चुअलाइजेशन प्रविधिहरूलाई लक्षित गर्ने कार्यमा उच्च दक्षता प्रदर्शन गरेको छ।
राउटिङ उपकरणहरू किन?
जासुसी-संचालित विरोधीहरू हालसालै राउटिंग उपकरणहरूमा सम्झौता गर्नेतर्फ लागेका छन्। महत्त्वपूर्ण पूर्वाधारमा नियन्त्रण प्राप्त गरेर, आक्रमणकारीहरूले लामो समयसम्म पहुँच कायम राख्न सक्छन् र भविष्यमा विघटनकारी गतिविधिहरू सञ्चालन गर्ने सम्भावना पनि राख्छन्।
टाइनिशेल जडान: रोजाइको हतियार
२०२४ को मध्यमा पत्ता लागेको पछिल्लो गतिविधिमा लिमिनल पाण्डा र भेलभेट एन्ट जस्ता चिनियाँ ह्याकिङ समूहहरूले मन पराउने हल्का C-आधारित ब्याकडोर, टाइनिशेलमा आधारित इम्प्लान्टहरू समावेश छन्। टाइनिशेलको खुला-स्रोत प्रकृतिले यसलाई व्यावहारिक छनौट बनाउँछ, अनुकूलनको सहजता प्रदान गर्दै एट्रिब्युशनलाई जटिल बनाउँछ।
सुरक्षा अनुसन्धानकर्ताहरूले टाइनिशेलमा आधारित छवटा फरक ब्याकडोरहरू पहिचान गरेका छन्, प्रत्येकको आफ्नै कार्यक्षमता छ:
- appid (एक खराब चोरी गरिएको इम्प्लान्ट डेमन) - फाइल स्थानान्तरण, अन्तरक्रियात्मक शेल, SOCKS प्रोक्सी, र C2 कन्फिगरेसन परिवर्तनहरू प्रदान गर्दछ।
- to (TooObvious) – appid जस्तै तर फरक हार्डकोड गरिएका C2 सर्भरहरूसँग।
- इराड (इन्टरनेट रिमोट एक्सेस डेमन) - ICMP प्याकेटहरू मार्फत प्याकेट स्निफिङ प्रयोग गरेर निष्क्रिय ब्याकडोरको रूपमा काम गर्दछ।
- lmpad (लोकल मेमोरी प्याचिङ अट्याक डेमन) - लगिङबाट बच्न प्रक्रिया इन्जेक्सन प्रयोग गर्दछ।
- jdosd (Junos Denial of Service Daemon) - रिमोट शेल क्षमताहरू भएको UDP ब्याकडोर।
जुनोस ओएस सुरक्षा सुरक्षाहरूलाई बाइपास गर्दै
जुनोस ओएसको भेरिफाइड एक्जिक्युट (भेरिएक्सेक) सुरक्षाको बावजुद आक्रमणकारीहरूले मालवेयर कार्यान्वयन गर्ने तरिकाहरू विकास गरेका छन्, जुन अनधिकृत कोड कार्यान्वयन रोक्नको लागि डिजाइन गरिएको हो। टर्मिनल सर्भर मार्फत विशेषाधिकार प्राप्त पहुँच प्राप्त गरेर, तिनीहरूले वैध प्रक्रियाहरूमा दुर्भावनापूर्ण पेलोडहरू इन्जेक्ट गर्छन्, पत्ता लगाउनबाट बच्दा दृढता सुनिश्चित गर्दै।
आक्रमण आर्सेनलमा थप उपकरणहरू
टाइनिशेल ब्याकडोरको अलावा, UNC3886 ले थप उपकरणहरू तैनाथ गर्दछ:
- सरीसृप र मेडुसा - लुकेर बस्नेको लागि रुटकिटहरू।
- PITHOOK - SSH प्रमाणीकरण अपहरण गर्न र प्रमाणहरू खिच्न प्रयोग गरिन्छ।
- GHOSTTOWN - एन्टी-फोरेन्सिक उद्देश्यका लागि डिजाइन गरिएको।
जुनिपर उपकरणहरू प्रयोग गर्ने संस्थाहरूलाई यी खतराहरूलाई कम गर्न तिनीहरूलाई नवीनतम फर्मवेयर संस्करणहरूमा अद्यावधिक गर्न कडा सल्लाह दिइन्छ।
अर्को आक्रमण, अर्को धम्की अभिनेता?
चाखलाग्दो कुरा के छ भने, J-Magic भनिने छुट्टै अभियानले cd00r भनेर चिनिने ब्याकडोर भेरियन्ट प्रयोग गरेर इन्टरप्राइज-ग्रेड जुनिपर राउटरहरूलाई लक्षित गरेको छ। यद्यपि, यो गतिविधिलाई चीनसँग सम्बन्धित फरक समूह, UNC4841 लाई श्रेय दिइएको छ, जसको UNC3886 को जीवनको अन्त्यमा रहेका जुनिपर राउटरहरूलाई लक्षित गर्ने कार्यसँग कुनै ज्ञात सम्बन्ध छैन।
दृढताको लागि CVE-2025-21590 को प्रयोग गर्दै
जुनिपर नेटवर्क्सले पुष्टि गरेको छ कि हालैका संक्रमणहरूले कम्तिमा एउटा जोखिमको शोषण गरेका छन् - CVE-2025-21590 (CVSS v4 स्कोर: 6.7)। जुनोस ओएस कर्नेलमा पाइने यो त्रुटिले उच्च-विशेषाधिकार प्राप्त आक्रमणकारीहरूलाई मनमानी कोड इन्जेक्ट गर्न अनुमति दिन्छ, अन्ततः उपकरणको अखण्डतामा सम्झौता गर्दछ।
जुनोस ओएस संस्करण २१.२R3-S9, २१.४R3-S10, २२.२R3-S6, २२.४R3-S6, २३.२R2-S3, २३.४R2-S4, २४.२R1-S2, २४.२R2, र २४.४R1 मा प्याचहरू जारी गरिएको छ। संस्थाहरूले यी अद्यावधिक संस्करणहरू चलाइरहेका छन् भनी सुनिश्चित गर्नुपर्छ।
UNC3886: चुपचाप र दृढताका मालिकहरू
UNC3886 को उन्नत प्रणाली आन्तरिकहरूमा विशेषज्ञता निष्क्रिय ब्याकडोर, लग छेडछाड, र फोरेन्सिक चोरीको रणनीतिक प्रयोगमा स्पष्ट छ। यसको प्राथमिक लक्ष्य पत्ता लगाउने जोखिमहरूलाई कम गर्दै दीर्घकालीन दृढता रहन्छ, जसले निरन्तर र महत्त्वपूर्ण साइबर सुरक्षा चुनौती खडा गर्दछ।
