Skupina kybernetickej špionáže UNC3886

Kybernetická špionážna entita UNC3886 prepojená s Čínou sa aktívne zameriava na smerovače MX na konci životnosti na nasadenie vlastných zadných vrátok. Táto kampaň podčiarkuje ich schopnosť infiltrovať internú sieťovú infraštruktúru, využívajúc zadné vrátka s aktívnymi aj pasívnymi schopnosťami. Niektoré varianty dokonca obsahujú vložené skripty určené na vypnutie mechanizmov protokolovania, čo umožňuje útočníkom nepozorovane pracovať.

Vyvíjajúca sa skupina hrozieb

UNC3886 má za sebou históriu využívania zero-day zraniteľností v zariadeniach Fortinet, Ivanti a VMware na prelomenie sietí a zabezpečenie dlhodobej perzistencie. Táto najnovšia operácia predstavuje evolúciu ich techník so zameraním na sieťový hardvér, ktorému často chýba monitorovanie bezpečnosti.

Od svojej prvej zdokumentovanej aktivity v septembri 2022 preukázal UNC3886 vysokú odbornosť v zacielení na špičkové zariadenia a virtualizačné technológie so zameraním na obranné, technologické a telekomunikačné sektory v USA a Ázii.

Prečo smerovacie zariadenia?

Špionážou poháňaní protivníci sa nedávno posunuli smerom ku kompromitujúcim smerovacím zariadeniam. Získaním kontroly nad kľúčovou infraštruktúrou si útočníci môžu zachovať predĺžený prístup a zároveň majú potenciál vykonávať rušivé aktivity v budúcnosti.

Spojenie TinyShell: zbraň voľby

Najnovšia aktivita, zistená v polovici roku 2024, zahŕňa implantáty založené na TinyShell, ľahkých zadných dvierkach na báze C, ktoré uprednostňujú čínske hackerské skupiny ako Liminal Panda a Velvet Ant. Povaha otvoreného zdroja TinyShell z neho robí praktickú voľbu, ktorá ponúka jednoduché prispôsobenie a zároveň komplikuje priraďovanie.

Výskumníci v oblasti bezpečnosti identifikovali šesť rôznych zadných vrátok založených na TinyShell, z ktorých každé má svoju vlastnú funkčnosť:

• appid (Démon zle plagiovaného implantátu) – Poskytuje prenos súborov, interaktívny shell, SOCKS proxy a zmeny konfigurácie C2.
• to (TooObvious) – Podobné ako appid, ale s rôznymi pevne zakódovanými servermi C2.
• irad (Internet Remote Access Daemon) – Pôsobí ako pasívne zadné vrátka pomocou sniffovania paketov prostredníctvom paketov ICMP.
• lmpad (Local Memory Patching Attack Daemon) – Používa proces vstrekovania na obchádzanie protokolovania.
• jdosd (Junos Denial of Service Daemon) – zadné vrátka UDP s možnosťami vzdialeného shellu.
• oemd (Obscure Enigmatic Malware Daemon) – pasívne zadné vrátka využívajúce TCP na komunikáciu so servermi C2.

Obchádzanie bezpečnostnej ochrany operačného systému Junos

Útočníci vyvinuli metódy na spustenie malvéru napriek ochrane Verified Exec (veriexec) Junos OS, ktorá je navrhnutá tak, aby zabránila neoprávnenému spusteniu kódu. Získaním privilegovaného prístupu prostredníctvom terminálového servera vkladajú škodlivý obsah do legitímnych procesov, čím zaisťujú vytrvalosť a vyhýbajú sa detekcii.

Viac nástrojov v útočnom Arsenale

Okrem zadných dvierok TinyShell využíva UNC3886 ďalšie nástroje:

• Reptile & Medusa – Rootkity pre tajnú vytrvalosť.
• PITHOOK – Používa sa na ukradnutie autentifikácie SSH a zachytenie poverení.
• GHOSTTOWN – Navrhnuté na anti-forenzné účely.

Organizáciám používajúcim zariadenia Juniper sa dôrazne odporúča aktualizovať ich na najnovšie verzie firmvéru na zmiernenie týchto hrozieb.

Ďalší útok, ďalší aktér hrozby?

Je zaujímavé, že samostatná kampaň s názvom J-Magic sa zamerala na podnikové smerovače Juniper využívajúce variant zadných vrátok známy ako cd00r. Táto aktivita sa však pripisuje inej skupine prepojenej s Čínou, UNC4841, bez známej väzby na zacielenie UNC3886 na smerovače Juniper na konci životnosti.

Využitie CVE-2025-21590 pre vytrvalosť

Juniper Networks potvrdil, že nedávne infekcie využili aspoň jednu zraniteľnosť – CVE-2025-21590 (CVSS v4 skóre: 6,7). Táto chyba, ktorá sa nachádza v jadre Junos OS, umožňuje vysokoprivilegovaným útočníkom vložiť ľubovoľný kód, čo v konečnom dôsledku ohrozuje integritu zariadenia.

Opravy boli vydané pre verzie Junos OS 21.2R3-S9, 21.4R3-S10, 22.2R3-S6, 22.4R3-S6, 23.2R2-S3, 23.4R2-S4, 24.2R1-S2, 24.2R4,2 a 24.2R4.2 Organizácie musia zabezpečiť, aby používali tieto aktualizované verzie.

UNC3886: Masters of Stealth and Persistence

Odbornosť UNC3886 v oblasti pokročilých vnútorných systémov je evidentná v strategickom využívaní pasívnych zadných dvierok, manipulácií s protokolmi a forenzných únikov. Jeho primárnym cieľom zostáva dlhodobá perzistencia pri minimalizácii rizík detekcie, čo predstavuje pokračujúcu a významnú výzvu v oblasti kybernetickej bezpečnosti.