Descubren nuevo backdoor que amenaza routers Juniper

Publicado el

Ilustración minimalista de ciberseguridad en estilo pop art con colores vibrantes y contornos audaces

Los investigadores de Black Lotus Labs han identificado una operación maliciosa que representa una seria amenaza para la seguridad de las redes corporativas: un backdoor diseñado específicamente para routers de grado empresarial de Juniper Networks. Este programa malicioso, apodado «J-Magic», funciona mediante la escucha de señales en la red conocidas como «paquetes mágicos» para activar comandos maliciosos.

¿Cómo funciona J-Magic?

El malware utiliza una versión personalizada del backdoor de código abierto conocido como cd00r, que opera de manera invisible para los sistemas de seguridad tradicionales. Su objetivo principal es establecer un shell inverso en el sistema, otorgando a los atacantes control remoto del dispositivo afectado. Una vez activado, los operadores pueden robar datos, ejecutar comandos maliciosos o incluso desplegar malware adicional.

Este backdoor evalúa cinco parámetros predefinidos antes de activarse. Si detecta uno de estos «paquetes mágicos», envía una solicitud de confirmación. Si esta es aceptada, se establece el acceso remoto en el dispositivo comprometido. Una preocupación adicional es que muchos de los dispositivos afectados operan como gateways de redes privadas virtuales (VPN), aumentando el impacto potencial de este ataque.

Foco en routers con JunoOS

J-Magic se centra exclusivamente en routers que utilizan JunoOS, un sistema operativo basado en FreeBSD desarrollado por Juniper Networks. Este enfoque revela un nivel de sofisticación significativo, ya que los atacantes han diseñado el malware para infiltrarse en una plataforma específica, aprovechándose de la falta de medidas de seguridad avanzadas en los routers corporativos.

Desde WWWhatsnew.com, creemos que este tipo de amenazas subraya la importancia de incluir routers y dispositivos de infraestructura en las estrategias de ciberseguridad. Estos dispositivos suelen ser pasados por alto en las auditorías de seguridad, a pesar de ser un punto crítico de acceso a las redes corporativas.

Comparaciones con SeaSpy

Aunque existen similitudes técnicas con SeaSpy, una variante de cd00r que también apuntaba a sistemas basados en FreeBSD, los investigadores de Black Lotus Labs consideran a J-Magic como una campaña independiente debido a la falta de evidencia que vincule ambas operaciones.

Alcance geográfico y verticales afectadas

La actividad maliciosa de J-Magic se concentró principalmente entre mediados de 2023 y mediados de 2024, afectando organizaciones de los sectores de semiconductores, energía, manufactura e IT, entre otros. Geográficamente, la mayoría de las infecciones se detectaron en Europa y Sudamérica, sugiriendo que los responsables de la campaña podrían estar recopilando información para futuras acciones más dirigidas.

La evolución de las amenazas a la infraestructura

En nuestra opinión, J-Magic ilustra un cambio significativo en el panorama de amenazas, donde los atacantes ya no se centran exclusivamente en terminales tradicionales, como computadoras o dispositivos móviles. En su lugar, buscan explotar puntos de entrada menos protegidos, como los routers corporativos. Estos dispositivos suelen tener largos tiempos de actividad sin reiniciarse, lo que los convierte en objetivos ideales para malware diseñado para operar en la memoria RAM, minimizando el riesgo de detección.

¿Cómo protegerse?

Desde WWWhatsnew.com recomendamos a las organizaciones que adopten las siguientes medidas para proteger sus infraestructuras:

  1. Actualizar los dispositivos regularmente: Mantener los routers con el firmware más reciente para cerrar posibles vulnerabilidades conocidas.
  2. Monitorizar el tráfico de red: Implementar herramientas avanzadas de análisis que puedan detectar actividades sospechosas.
  3. Segmentar las redes: Limitar el acceso entre segmentos de la red para mitigar posibles daños en caso de un ataque.
  4. Implementar sistemas de detección de intrusos (IDS): Especialmente aquellos que se enfoquen en dispositivos de infraestructura como routers.
  5. Educar al personal de IT: Asegúrense de que los equipos responsables de la gestión de redes estén al tanto de las amenazas emergentes y buenas prácticas.

Como hemos mencionado anteriormente en WWWhatsnew.com, la ciberseguridad debe abarcar todos los aspectos de una red, incluyendo dispositivos que tradicionalmente han pasado desapercibidos, como los routers. La aparición de amenazas como J-Magic pone de manifiesto la necesidad de repensar nuestras estrategias de protección en un panorama de riesgos cada vez más sofisticado.

 

Publicado en
Etiquetado
backdoor J-MagicciberseguridadJunoOSmalwarerouters Juniper

Comparte en:

por Juan Diego Polo

Ingeniero de más de 40, fundador de WWWhatsnew y editor apasionado.Trabajo en el mundo de la tecnología desde el año 2.000, y desde entonces no he parado un minuto de prestar atención a todas las novedades del sector, novedades que os contamos desde WWWhatsnew.com.Estoy especializado en Inteligencia Artificial, Impresión 3D, aplicaciones y desarrollo web y todo lo relacionado con el mundo cuántico.Podéis encontrarme en @juandiegopolo y linkedin