Nel mondo della sicurezza informatica, una nuova minaccia sta prendendo di mira i router Juniper Networks, sfruttando una vulnerabilità legata ai "magic packet". Questa campagna, denominata J-magic, è stata scoperta dal team Black Lotus Labs di Lumen Technologies e rappresenta un raro esempio di malware progettato specificamente per il sistema operativo Junos OS, un derivato di FreeBSD. Il malware è stato identificato per la prima volta a settembre 2023 e le attività sono proseguite fino alla metà del 2024, colpendo settori come quello dei semiconduttori, energetico, manifatturiero e IT.
**Meccanismo della campagna J-magic**
Il meccanismo della campagna J-magic prevede l'utilizzo di un agente che attende l'arrivo di un "magic packet", ossia un pacchetto inviato da un hacker per attivare il malware. Questo agente, basato su una variante di un backdoor pubblico noto come cd00r, necessita di cinque parametri predefiniti per iniziare le sue operazioni. Una volta ricevuto il pacchetto giusto, l'agente stabilisce una connessione inversa verso l'indirizzo IP e la porta specificati dal magic packet, consentendo agli aggressori di controllare il dispositivo, rubare dati o distribuire ulteriori payload dannosi.
Lumen ha teorizzato che l'inclusione di un secondo livello di verifica, tramite un challenge-response, è un tentativo degli aggressori di impedire ad altri attori malevoli di utilizzare indiscriminatamente i magic packet per controllare gli agenti J-magic. È interessante notare che un'altra variante di cd00r, chiamata SEASPY, è stata utilizzata in una campagna contro dispositivi Barracuda Email Security Gateway alla fine del 2022. Tuttavia, al momento non ci sono prove che colleghino le due campagne.
**Impatto sui router Juniper**
La campagna J-magic ha colpito principalmente router Juniper configurati come gateway VPN, con un secondo gruppo di dispositivi che presentano una porta NETCONF esposta. Questi dispositivi di configurazione di rete sono stati probabilmente scelti per la loro capacità di automatizzare le informazioni di configurazione dei router e la gestione.
I router sono spesso bersagliati da attori statali per preparare attacchi successivi, e i risultati recenti evidenziano il continuo interesse per le infrastrutture di confine, spesso caratterizzate da lunghi tempi di attività e una mancanza di protezioni EDR (Endpoint Detection and Response). "Uno degli aspetti più notevoli della campagna è il focus sui router Juniper," ha dichiarato Lumen. "Mentre in passato abbiamo assistito a un targeting massiccio di altre apparecchiature di rete, questa campagna dimostra che gli attaccanti possono espandere il loro successo ad altri tipi di dispositivi, come i router di classe enterprise."
