كتب: غادة حلمي

كشف تقرير أمني عن اختراق مجموعة تجسس صينية (UNC3886) لأجهزة توجيه Juniper Networks MX التي تعمل بأجهزة وبرامج منتهية الدعم، مما جعلها عرضة للخطر، حيث تم زرع أبواب خلفية متطورة تمنح المهاجمين وصولًا مستمرًا وخفيًا إلى هذه الأجهزة.

ويتضمن أسلوب الهجوم: استخدمت المجموعة بيانات اعتماد شرعية للحصول على وصول متميز إلى أجهزة التوجيه تشغيل Junos OS التي تعمل بإصدارات منتهية الدعم.

زرعت ستة أنواع مختلفة من البرامج الضارة (أبواب خلفية) تعتمد على TINYSHELL حيث تم إنشاء وصول دائم وتجنب الاكتشاف، مما سمح لهم بما يلي بنقل الملفات ، تنفيذ الأوامر عن بُعد بدون اكتشاف  وإنشاء وكيل (Proxy) لنقل البيانات

تمكنت المجموعة من تجاوز نظام الحماية Verified Exec (veriexec) الخاص بـ Juniper باستخدام تقنية حقن العمليات عبر ثغرة (CVE-2025-21590)، مما سمح لهم بتنفيذ تعليمات برمجية خبيثة.

استخدمت برمجية lmpad لحذف سجلات الأوامر والتدقيق الأمني، مما مكّن المهاجمين من تنفيذ عملياتهم دون ترك أثر.

استخدمت البرامج الضارة تشفير AES لتعزيز التخفي وتأمين قنوات الاتصال.

وتستهدف المجموعة مؤسسات الدفاع والتكنولوجيا والاتصالات في الولايات المتحدة وآسيا.

ويمثل الاختراق تطورًا مقلقًا في استهداف البنية التحتية الحيوية للشبكات من قبل جهات مدعومة حكوميًّا.

يمنح المهاجمين وصولًا طويل الأجل وعالي المستوى إلى البنية التحتية الحيوية، مما قد يؤدي إلى إجراءات تخريبية في المستقبل.

ويُنصح المؤسسات بشدة بترقية أجهزة Juniper إلى أحدث الإصدارات مع تطبيق إجراءات أمنية قوية لحماية البنية التحتية للشبكة مثل مراقبة حركة المرور المشبوهة والتأكد من سلامة بيانات التكوين بجانب التحقق من سجلات الأنظمة بانتظام لرصد أية أنشطة مشبوهة أو محاولات وصول غير مصرح بها.