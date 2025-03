Onderzoekers hebben verschillende backdoors voor Juniper MX-routers ontdekt die onder andere de logging uitschakelen als een aanvaller inlogt voor het uitvoeren van 'hands-on activiteiten'. Zodra de aanvaller uitlogt wordt de logging weer ingeschakeld, om zo te voorkomen dat de malware wordt ontdekt. Dat laat securitybedrijf Mandiant in een analyse weten.

Hoe de aanvallers de routers precies wisten te compromitteren laat Mandiant niet weten. Het securitybedrijf stelt dat de aanvallers root-toegang tot de gecompromitteerde apparaten hadden. Daarnaast draaiden de betreffende Juniper MX-routers end-of-life hardware en software. In totaal vonden de onderzoekers op getroffen routers zes verschillende backdoors.

Volgens Mandiant zijn de aanvallen het werk van een aan China gelieerde groep die het UNC3886 noemt. "Het compromitteren van routeringsapparaten is een recente trend in de tactieken van spionage gemotiveerde aanvallers, aangezien het de mogelijkheid biedt voor een lange termijn, high-level toegang tot cruciale routeringsinfrastructuur, met de mogelijkheid voor meer schadelijke acties in de toekomst." Het securitybedrijf adviseert organisaties onder andere om hun end-of-life apparatuur te vervangen.