Çinli Hackerlar, Juniper Networks Router’larını Özel Backdoor ve Rootkitlerle Ele Geçirdi
UNC3886 olarak izlenen Çin bağlantılı siber casusluk grubu, Juniper Networks’ün kullanım ömrü dolmuş MX Serisi router’larını hedef alarak özel backdoor’lar dağıtan bir kampanya yürüttü. Bu durum, grubun iç ağ altyapısına odaklanma yeteneğini gösteriyor.
Google’a ait güvenlik şirketi Mandiant, paylaştığı raporda, “Backdoor’lar, aktif ve pasif erişim işlevleri dahil olmak üzere çeşitli özel yeteneklere sahipti ve hedef cihazda günlük tutma mekanizmalarını devre dışı bırakan bir gömülü komut dosyası içeriyordu.” dedi.
Tehdit istihbaratı firması, bu gelişmeyi saldırganların taktiklerinin bir evrimi olarak tanımladı. UNC3886, daha önce Fortinet, Ivanti ve VMware cihazlarında sıfır gün (zero-day) açıklarını kullanarak ağlara sızmış ve kalıcı uzaktan erişim sağlamıştı.
Eylül 2022’de belgelenen bu hacker grubu, savunma, teknoloji ve telekomünikasyon sektörlerindeki kuruluşları hedef alarak kenar (edge) cihazlara ve sanallaştırma teknolojilerine saldırma konusunda oldukça yetenekli olarak değerlendiriliyor.
Bu tür saldırılar, ağ sınırındaki cihazların genellikle güvenlik izleme ve tespit çözümlerinden yoksun olmasını avantaja çevirerek saldırganların uzun süre fark edilmeden çalışmasına olanak tanıyor. Mandiant, “Routing cihazlarının ele geçirilmesi, casusluk amaçlı saldırganların son dönemde benimsediği bir taktik. Bu, uzun vadeli ve yüksek seviyeli erişim sağlayarak kritik yönlendirme altyapısını kontrol etmelerine olanak tanıyor ve gelecekte daha yıkıcı saldırılara kapı aralayabilir.” dedi.
TinyShell Tabanlı Backdoor’lar Kullanılıyor
2024 ortalarında tespit edilen en son saldırılar, Çinli hacker grupları Liminal Panda ve Velvet Ant tarafından da kullanılan, TinyShell adlı C tabanlı bir backdoor ile gerçekleştirildi.
Google Tehdit İstihbarat Grubu’ndan Austin Larsen, “Velvet Ant ve Liminal Panda gibi gruplar, TinyShell’i hafif yapısı ve Linux sistemlerle doğal uyumluluğu nedeniyle tercih edebilir. Açık kaynaklı bir araç olması, maliyeti azaltırken, kötü amaçlı yazılımın tespit edilmesini de zorlaştırıyor.” dedi.
Mandiant, altı farklı TinyShell tabanlı backdoor tespit etti:
- appid (A Poorly Plagiarized Implant Daemon): Dosya yükleme/indirme, interaktif kabuk, SOCKS proxy ve yapılandırma değişiklikleri desteği sağlıyor.
- to (TooObvious): appid ile benzer özelliklere sahip ancak farklı C2 sunucularına bağlı.
- irad (Internet Remote Access Daemon): Pasif bir backdoor olup ICMP paketlerinden komutları çıkarmak için bir libpcap tabanlı paket dinleyici olarak çalışıyor.
- lmpad (Local Memory Patching Attack Daemon): Günlükleri devre dışı bırakmak için meşru Junos OS süreçlerine enjekte edilen bir işlem başlatıyor.
- jdosd (Junos Denial of Service Daemon): UDP tabanlı bir backdoor olup dosya aktarımı ve uzaktan kabuk erişimi sağlıyor.
- oemd (Obscure Enigmatic Malware Daemon): C2 sunucusuyla TCP üzerinden iletişim kuran ve TinyShell komutlarını destekleyen pasif bir backdoor.
Hackerlar, bu zararlıları Junos OS’un Verified Exec (veriexec) korumasını aşarak çalıştırmayı başardı. Bunu, ağ cihazlarını yönetmek için kullanılan bir terminal sunucusuna meşru kimlik bilgileriyle erişerek gerçekleştirdiler. Daha sonra, bu ayrıcalıkları kullanarak kötü amaçlı yükleri meşru cat sürecinin belleğine enjekte ettiler.
Mandiant, “Bu kötü amaçlı yazılımın ana amacı, operatör router’a bağlanmadan önce tüm günlükleri devre dışı bırakmak, işlemleri tamamladıktan sonra ise eski haline getirmektir.” dedi.
UNC3886 tarafından kullanılan diğer araçlar arasında Reptile ve Medusa gibi rootkitler, PITHOOK adlı SSH kimlik doğrulama bilgilerini çalan bir araç ve adli bilişim incelemelerini engellemek için kullanılan GHOSTTOWN bulunuyor.
Juniper Networks ve Google Mandiant’tan Açıklamalar
Bu gelişme, Lumen Black Lotus Labs’in, J-magic adı verilen ve cd00r adlı bir backdoor’un değiştirilmiş bir sürümünü içeren saldırıyı açıklamasından bir ay sonra ortaya çıktı.
Google Mandiant’tan Larsen, UNC3886’nın faaliyetlerinin UNC4841 adlı farklı bir tehdit grubuyla bağlantılı olduğuna dair bir kanıt bulunmadığını belirtti.
Temmuz 2024’te RedPenguin kod adlı bir araştırma projesi başlatan Juniper Networks, MX Serisi router’lara yönelik saldırıları araştırdı. İncelemeler, CVE-2025-21590 güvenlik açığının (CVSS v4 puanı: 6.7) saldırının başarılı olmasına katkıda bulunduğunu ortaya koydu.
Juniper, “Junos OS’un çekirdeğinde bulunan bir güvenlik açığı, yüksek ayrıcalıklara sahip bir yerel saldırganın cihazın bütünlüğünü tehlikeye atmasına olanak tanıyor. Bu açığı kullanarak kabuğa erişimi olan bir saldırgan, rastgele kod enjekte edebilir ve etkilenen bir cihazı ele geçirebilir.” dedi.
Bu güvenlik açığı, Junos OS’un 21.2R3-S9, 21.4R3-S10, 22.2R3-S6, 22.4R3-S6, 23.2R2-S3, 23.4R2-S4, 24.2R1-S2, 24.2R2 ve 24.4R1 sürümlerinde giderildi.
Kuruluşlara, Juniper Malware Removal Tool (JMRT) güncellemelerini içeren en son güvenlik yamalarını yüklemeleri öneriliyor.
Mandiant, UNC3886’nın gelişmiş sistem iç detaylarına hakim olduğunu ve uzun vadeli gizli erişimi korumak için pasif backdoor’lar, günlük manipülasyonu ve adli inceleme engelleme tekniklerine öncelik verdiğini belirtti.
Diğer yazılarımıza buradan ulaşabilirsiniz.
Leave a Comment