全球各地关键制造领域的Juniper网络路由器中被植入隐藏后门

自 2023 年中期以来，有人一直在悄悄地对全球半导体、能源和制造等关键领域的部分Juniper(瞻博网络)路由器安装后门。

这些设备感染了疑似cd00r变种的病毒，这是一种可公开获得的“隐形后门”，旨在通过在激活前监视网络流量的特定条件，在受害者的机器上秘密运行。

目前公众还不知道这些窥探者如何获得某些组织 Junos OS 设备的足够访问权限，从而植入后门，从而远程控制网络设备。我们确实知道的是，大约一半的设备已配置为 VPN 网关。

一旦注入，这个被 Black Lotus Labs 本周称为 J-magic 的后门将仅驻留在内存中，并被动等待五个可能的网络数据包之一到达。当机器收到其中一个魔法数据包序列时，将与发送者建立连接，然后后门将发起后续质询。如果发送者通过测试，他们将获得对盒子的命令行访问权限并对其进行控制。

正如 Black Lotus Labs在周四的研究报告中所解释的那样：“一旦完成挑战，J-Magic 就会在本地文件系统上建立一个反向 shell，让操作员可以控制设备、窃取数据或部署恶意软件。”

虽然这并不是有史以来发现的第一个魔术包(https://www.pwc.com/gx/en/issues/cybersecurity/cyber-threat-intelligence/cyber-year-in-retrospect/yir-cyber-threats-report-download.pdf) 恶意软件，但该团队写道，“将目标锁定作为 VPN 网关的 Junos OS 路由器，并部署被动监听的内存代理，使其成为值得进一步观察的有趣间谍手段的融合。”

Juniper(瞻博网络)没有回应The Register的询问。

Black Lotus 实验室表示，它在 VirusTotal 上发现了 J-Magic，研究人员表示最早的样本于 2023 年 9 月上传。

该恶意软件会创建一个 eBPF 过滤器来监控到指定网络接口和端口的流量，并等待收到来自外界的五个特制数据包中的任何一个。

如果其中一个魔术包（实验室报告中有描述）出现，后门就会使用 SSL 连接到发送魔术包的人；向发送者发送一个随机的、五个字符长的字母数字字符串，该字符串使用硬编码的公共 RSA 密钥加密；如果发送者可以使用密钥对的私钥解密该字符串并将其发回后门进行验证，恶意软件就会开始通过连接接受命令以在盒子上运行。

Black Lotus 实验室在研究报告中写道：“我们怀疑开发人员添加了这个 RSA 挑战，以防止其他威胁组织向互联网发送魔术包来统计受害者，然后简单地将 J-Magic 代理重新用于他们自己的目的，因为其他民族国家黑客因展示这种寄生技巧而闻名，例如 Turla。”

假设攻击者成功完成挑战，他们就可以完全访问路由器，从而使受害组织容易受到进一步的攻击。

这些受害者遍布全球，研究人员记录了美国、英国、挪威、荷兰、俄罗斯、亚美尼亚、巴西和哥伦比亚的公司。其中包括一家光纤公司、一家太阳能电池板制造商、制造公司（包括两家制造或租赁重型机械的公司和一家制造船舶和渡轮的公司），以及能源、技术和半导体公司。

虽然大多数目标设备都是充当 VPN 网关的 Juniper 路由器，但一组有限的目标 IP 地址有一个暴露的 NETCONF 端口，该端口通常用于帮助自动化路由器配置信息和管理。

研究人员指出，这表明这些路由器是一个更大规模的受管理路由器群的一部分，例如网络服务提供商的路由器群。

他们补充道：“我们怀疑这些设备之所以被攻击，是因为其在路由生态系统中发挥着核心作用。由于路由器配置了网络过滤器、设置、策略、跟踪和控制，因此对于想要在生态系统中转移或持续存在的攻击者来说，它们是一个有价值的目标。”

技术报告：

https://blog.lumen.com/the-j-magic-show-magic-packets-and-where-to-find-them/

新闻链接：

https://www.theregister.com/2025/01/25/mysterious_backdoor_juniper_routers/