Des pirates non identifiés sont parvenus à créer une porte dérobée dans des routeurs Juniper un peu partout dans le monde, selon l’équipe de cybersécurité Black Lotus Labs chez Lumen.

Black Lotus Labs ne sait pas encore comment les espions ont obtenu cet accès sur Junos OS pour contrôler à distance les équipements de mise en réseau de Juniper mais l’équipe de recherche estime que les premières violations de sécurité de ce type ont commencé à la mi-2023.

Cette forme de porte dérobée a été baptisée J-magic par Black Lotus Labs. Il pourrait s’agir d’une variante de cd00r, conçue pour fonctionner furtivement sur un ordinateur en surveillant le trafic réseau à la recherche de conditions spécifiques avant de s’activer. « J-Magic établit un shell inversé sur le système de fichiers local. Cela permet aux opérateurs de contrôler l’appareil, de voler des données ou de déployer des logiciels malveillants », explique l’équipe de cybersécurité de Lumen dans un avis de sécurité.

Black Lotus Labs précise avoir repéré J-Magic sur VirusTotal, le service de Google d’analyse des fichiers suspects. Et de détailler le processus d’attaque : « Le logiciel malveillant crée un filtre eBPF pour surveiller le trafic vers une interface réseau et un port spécifiés, et attend de recevoir l’un de cinq paquets spécifiquement élaborés en provenance du monde extérieur. Si l’un de ces paquets ‘magiques’ apparaît, la porte dérobée se connecte à la personne qui a envoyé le paquet magique en utilisant SSL ; elle envoie à l’expéditeur une chaîne alphanumérique aléatoire de cinq caractères cryptée à l’aide d’une clé RSA publique codée en dur ; si l’expéditeur peut décrypter la chaîne à l’aide de la moitié privée de la paire de clés et la renvoyer à la porte dérobée pour vérification, le logiciel malveillant commencera à accepter des commandes via la connexion pour s’exécuter sur le boitier ». Si l’attaquant réussit à relever le défi, il dispose d’un accès complet au routeur, ce qui rend l’entreprise victime vulnérable à d’autres compromissions.

Bien qu’il ne s’agisse pas du tout premier logiciel malveillant de type magic packet, l’équipe de Black Lotus Labs note que « la combinaison du ciblage de routeurs Junos OS servant de passerelle VPN et du déploiement d’un agent d’écoute passive en mémoire uniquement, fait de cette situation une confluence intéressante de techniques qui mérite d’être observée plus avant ».