Tientallen Juniper-routers wereldwijd zijn geïnfecteerd met een backdoor die volledig in het geheugen draait, wat het lastig maakt de malware te detecteren, zo stellen onderzoekers van securitybedrijf Lumen. Het gaat om 'customer premise equipment' routers die als vpn-gateway worden ingezet, maar ook routers die vermoedelijk van netwerkserviceproviders zijn.

In totaal vonden de onderzoekers van Lumen 36 unieke ip-adressen van besmette Juniper-routers. Hoe de routers besmet konden worden laten de onderzoekers niet weten. Besmette routers werden aangetroffen bij bedrijven en organisaties in allerlei sectoren, zoals bouw, machineproductie, it, bio-engineering, maritieme productie, halfgeleiders, it-dienstverlening, verzekeringen, telecom, internet en overheid. De eerste via VirusTotal ontdekte versie van de backdoor dateert van september 2023. De campagne zou mogelijk tot halverwege 2024 actief zijn geweest.

"We denken dat enterprise grade routers een aantrekkelijk doelwit vormen, omdat ze meestal niet over host-based monitoringtools beschikken. Deze apparaten worden zelden uitgeschakeld; malware ontwikkeld voor routers is ontworpen om van de lange up-time gebruik te maken en alleen in het geheugen te draaien, wat voor lage detectie en langetermijntoegang zorgt, in vergelijking met malware die zich in de firmware nestelt", aldus de onderzoekers. Die voegen toe dat routers aan de rand van het bedrijfsnetwerk of die als vpn-gateway fungeren, zoals bij de nu beschreven campagne, een aantrekkelijk doelwit zijn.

"Eén interessante correlatie was dat veel van de remote beheerde routers zich fysiek in Zuid-Amerika bevinden, terwijl de meeste vpn-gateways in Europa waren. Dit kan erop duiden dat de aanvallers nog in een planning/verkennende fase in Zuid-Amerika zitten", gaan de onderzoekers verder. Die stellen dat de aanvallers mogelijk in Zuid-Amerika meer de nadruk leggen op internet- en telecomproviders. Wie erachter de backdoor zit en wat het doel ervan is, is onbekend.