סין תקפה בארה"ב ובאסיה – ניצלה חולשה בנתבי ג'וניפר

קבוצת ריגול סינית בסייבר תקפה ארגונים בארה"ב ובאסיה, על בסיס ניצול חולשה, תוך שהיא מכוונת לנתבים בסוף החיים של ג'וניפר נטוורקס (Juniper Networks). המתקפות היו חלק מקמפיין ריגול, שנועד לפרוס דלתות אחוריות מותאמות אישית, כדי להשיג גישה לתשתית הרשתות הפנימיות של הקורבנות. ג'וניפר פרסמה תיקון לפרצה שנוצלה – במערכת ההפעלה שלה, הפצירה בלקוחות ליישם את התיקונים, וציטטה דו"ח לפיו מבוצע "ניצול זדוני" של החולשה.

בפוסט שפרסמו בשבוע שעבר, חוקרי מנדיאנט (Mandiant) מבית גוגל קלאוד (Google Cloud) חשפו פרטים על מסע ריגול של קבוצת האיומים סין-נקסוס (China-nexus) נגד נתבי ג'וניפר. ההתקפות האחרונות של המסע ניצלו חולשה במערכת ההפעלה Junos של ג'וניפר ומשם – התוקפים פגעו בנתבי ענקית התקשורת.

Last year, we discovered custom backdoors on Juniper Networks’ Junos OS routers and attributed this to China-nexus espionage group #UNC3886.

We recommend organizations to upgrade their Juniper devices and run the JMRT Quick Scan and Integrity Check. https://t.co/dzlA6kY3Tg pic.twitter.com/miihPuQSyp

— Mandiant (part of Google Cloud) (@Mandiant) March 12, 2025

"התוקפים פרסו דלתות אחוריות מותאמות אישית בנתבי Junos OS"

לפי החוקרים, הם זיהו בראשונה את שחקן האיום מנצל את הנתבים של מערכת ההפעלה כבר מאמצע 2024. הקבוצה עצמה ידועה לחוקרי האיומים מאז ספטמבר 2022. "התוקפים פרסו דלתות אחוריות מותאמות אישית בנתבי Junos OS של ג'וניפר", כתבו החוקרים. "אנו מייחסים את הדלתות האחוריות הללו לקבוצת הריגול UNC3886".

"קבוצת הריגול הראתה התמקדות בשמירה על גישה ארוכת טווח לרשתות הקורבנות", כתבו חוקרי מנדיאנט, "כמו גם מיומנות והבנה עמוקה של הטכנולוגיה הבסיסית של המכשירים המותקפים. UNC3886 הסינית היא קבוצת ריגול בסייבר, מיומנת ביותר, שתקפה בעבר התקני רשת וטכנולוגיות וירטואליזציה, תוך ניצול פרצות יום אפס". הקורבנות בהם התמקדו ההאקרים היו בעיקר ארגונים בתעשיות הביטחון, הטק והתקשורת, בארה"ב וגם באסיה.

"לדלתות האחוריות היו יכולות מוּתאמוּת אישית שונות, כולל פונקציות אקטיביות ופסיביות של דלת אחורית, כמו גם סקריפט מוטבע, שמשבית מנגנוני רישום במכשיר היעד", אמרו החוקרים. "מתקפות אלו מנצלות את העובדה שלמכשירים היקפיים ברשת אין פתרונות ניטור וזיהוי אבטחה, וכך היום יכולים לפעול בלא הפרעה ובלא משיכת תשומת לב". הם הוסיפו כי "זו מגמה חדשה – לפרוץ לנתבים. יריבים שהמניע שלהם הוא ריגול משתמשים בדרך זו, כי היא מעניקה להם את היכולת לגישה ארוכת טווח ברמה גבוהה לתשתית הניתוב החיונית, עם פוטנציאל לפעולות משבשות יותר בעתיד".

🛡️ We added Juniper Junos OS & Apple vulnerabilities, CVE-2025-21590 & CVE-2025-24201, to our Known Exploited Vulnerabilities Catalog. Visit https://t.co/myxOwap1Tf & apply mitigations to protect your org from cyberattacks. #Cybersecurity #InfoSec pic.twitter.com/mqZqJYabCN

— CISA Cyber (@CISACyber) March 13, 2025

הפגיעות במערכת ההפעלה היא ברמת חומרה בינונית, וסווגה כ-CVE-2025-21590. היא התגלתה על ידי מהנדס אבטחה באמזון – שלא הייתה בין הארגונים המותקפים.

הפגיעות "מאפשרת לתוקף מקומי עם הרשאות גבוהות לסכן את שלמות המכשיר", הודיעה ג'וניפר ואישרה כי ידועים מקרים בהם החולשה נוצלה לצורך מתקפות.

חברת מודיעין האיומים תיארה את המתקפה כהתקדמות והתפתחות של כלי התקיפה של היריב (סין), ש-"מינף בעבר חולשות יום אפס במכשירי פורטינט (Fortinet), איוונטי (Ivanti) ו-VMware – כדי לפרוץ לרשתות  ולבסס יכולת עקבית לגישה מרחוק".

בסוף השבוע אישרה CISA, הסוכנות האמריקנית לאבטחת סייבר ותשתיות, כי הפרצה במערכת ההפעלה נוצלה לרעה במתקפות. הסוכנות הוסיפה את הבאג לקטלוג נקודות התורפה המנוצלות שלה. "סוגים אלה של פגיעויות הם וקטורי תקיפה תכופים עבור שחקני סייבר זדוניים. הם מהווים סיכונים משמעותיים לארגון הפדרלי", אמרה הסוכנות. "אנו קוראים לכל הארגונים להפחית את חשיפתם למתקפות סייבר על ידי מתן עדיפות לתיקון בזמן של פגיעויות".

פורצת – לא רק טלקום

אנליסטים של אבטחת סייבר דראגוס (Dragos), גילו כי קבוצת הסייבר וולט טייפון הסינית פרצה ואז שמרה על גישה – לא מורשית – לרשת הטכנולוגיה התפעולית (OT) של LELWD (ר"ת Littleton Electric Light and Water Departments) – חברת חשמל ציבורית קטנה במסצ'וסטס – מפברואר עד נובמבר 2023.

"אחד האתגרים הגדולים ביותר באבטחת סייבר בתשתיות קריטיות הוא תוחלת החיים הארוכה של המכשירים. משהו שתוכנן ונבדק לפי שיטות העבודה המומלצות שהיו זמינות כאשר שוחרר – עלול בקלות להפוך לפגיע, באמצעות מתקפות מתוחכמות יותר שנערכות מאוחר", הזהיר טים מקי, ראש אסטרטגיית סיכוני שרשרת אספקת תוכנה בבלאק דאק (Black Duck).

נתנאל ג'ונס, סגן נשיא לחקר איומים ב-Darktrace, הדהד את דברי מקי, והוסיף כי "ההשפעה על תשתיות לאומיות קריטיות (CNI) היא דאגה מתמשכת וגוברת עבור צוותים התקפיים והגנתיים".