Специалисты Black Lotus Labs обнаружилиновый бэкдор J-Magic, который активно использовался для атаки на корпоративные VPN, работающие на Junos OS от Juniper Networks. Вредоносный инструмент отличается высокой степенью скрытности и технологической изощрённости. Бэкдор использует механизм пассивного агента, остающегося в состоянии покоя до тех пор, пока не получит специальный сигнал – Magic Packet.
Принцип работы J-Magic заключается в скрытом анализе входящего трафика. Вредоносное ПО проверяет пакеты данных на соответствие пяти заранее заданным условиям, которые настолько специфичны, что не выделяются на фоне обычного сетевого трафика. Это позволяет избежать обнаружения системами защиты.
После того как одно из условий выполнено, бэкдор активируется и отправляет инициатору специальный зашифрованный запрос. Ответ на него может быть предоставлен только злоумышленником, обладающим секретным RSA-ключом. Этот механизм предотвращает несанкционированное использование уязвимости другими хакерами .
J-Magic представляет собой модифицированную версию демонстрационного прототипа cd00r, впервые представленного в 2000 году. Однако J-Magic пошёл ещё дальше, объединив пассивное слежение, RSA-аутентификацию и хранение в оперативной памяти, что делает его практически неуловимым.
Одной из главных особенностей J-Magic является его способность работать исключительно в памяти устройства, без установки на дисковую систему. Такой подход значительно усложняет обнаружение, поскольку традиционные методы анализа файловой системы становятся бесполезными. Вредоносное ПО также использует SSL для установления обратного соединения с IP-адресом атакующего, что дополнительно затрудняет мониторинг и анализ сетевого трафика.
Бэкдор был обнаружен в сетях 36 организаций, охватывающих такие отрасли, как производство полупроводников, энергетика, IT и промышленное производство. Кампания длилась с середины 2023 года до середины 2024 года. До сих пор не ясно, каким образом J-Magic устанавливался на устройства. Возможные сценарии включают эксплуатацию уязвимостей в сетевом оборудовании или использование фишинговых атак для проникновения в сети компаний.
Бэкдор активируется после получения “магического пакета”, содержащего специфические данные. Например, одно из условий гласит, что два байта в определённой области TCP-заголовка должны равняться “1366”, а номер порта назначения – быть равным 443. Другие условия включают наличие уникальных последовательностей байтов и специфические положения IP-адресов и портов атакующего в структуре пакета. Если хотя бы одно из условий выполнено, J-Magic инициирует установление обратного соединения, шифруя обмен данными с использованием RSA-ключей.
После успешной проверки хакер получает доступ к командной строке устройства, что позволяет выполнять любые команды до завершения сеанса.
Специалисты подчёркивают, что использование “магических пакетов” существенно повышает скрытность подобных атак. В отличие от стандартных бэкдоров, которые требуют открытия портов для прослушивания, J-Magic анализирует весь входящий трафик, не оставляя видимых следов. Это затрудняет работу систем киберзащиты, поскольку они не способны обнаружить активные соединения, связанные с вредоносной активностью.
J-Magic является частью более широкой тенденции использования “магических пакетов” в кибератаках. Один из примеров – кампания с бэкдором SeaSpy, нацеленным на серверы Barracuda. Оба вредоносных ПО работают на операционной системе FreeBSD, что также характерно для Juniper и Barracuda.
Исследователи подчёркивают необходимость усиленного мониторинга сетевого трафика и разработки новых методов защиты от подобных угроз. Успех J-Magic ещё раз демонстрирует, насколько важно учитывать не только программные, но и сетевые аспекты кибербезопасности.