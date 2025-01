Nel panorama della sicurezza informatica, l'emergere di nuove minacce è un qualcosa di sempre attuale. Recentemente, è stata identificata una backdoor mai vista prima, denominata J-Magic, che ha silenziosamente preso piede in numerose reti VPN aziendali che utilizzano JunoOS di Juniper Networks. Questa scoperta è stata rivelata giovedì dai ricercatori, che hanno messo in luce una metodologia sofisticata utilizzata dai criminali informatici per mantenere il controllo delle loro operazioni senza farsi notare.

La strategia di accesso della backdoor J-Magic

Il malware J-Magic utilizza un approccio particolarmente ingegnoso per garantire la sicurezza delle proprie operazioni. Una volta in contatto con un dispositivo, si attiva solo dopo aver ricevuto un "magic packet", un pacchetto di dati speciale che si nasconde nel normale flusso di traffico TCP. Questo pacchetto innesca una risposta, nella forma di una sfida testuale, che viene cifrata utilizzando la parte pubblica di una chiave RSA. Solo il dispositivo che possiede la chiave segreta può fornire la risposta corretta, dimostrando in questo modo il suo accesso legittimo.

Questa strategia non solo rende il malware difficile da rilevare, ma aggiunge anche un ulteriore livello di sicurezza contro accessi non autorizzati. È un chiaro segno della sofisticazione con cui gli attori malevoli costruiscono le loro campagne di attacco, cercando di rendere il loro software malevolo il più invisibile possibile.

La peculiarità del malware in memoria

Un'altra caratteristica interessante di J-Magic è che opera esclusivamente in memoria. Questa peculiarità rende più complicato il compito di rilevamento per i professionisti della sicurezza informatica. Non essendo mai memorizzato su disco, il malware sfugge facilmente ai tradizionali strumenti di monitoraggio e protezione, i quali si concentrano spesso su file o programmi statici.

Il laboratorio Black Lotus di Lumin Technology ha sottolineato l'importanza di questa scoperta, notando che sebbene il malware basato su pacchetti magici non sia una novità assoluta, gli attacchi in corso in tal modo sono stati relativamente rari negli ultimi anni. La combinazione della targetizzazione dei router Junos OS, che funzionano come gateway VPN, insieme all'uso di un agente in memoria, rappresenta un'interessante convergenza di tecniche di attacco da seguire con attenzione.

Situazione attuale e rischi per le organizzazioni colpite

I ricercatori hanno riferito di aver trovato tracce di J-Magic su VirusTotal, scoprendo che il malware era attivo all'interno delle reti di 36 organizzazioni. Tuttavia, rimane un mistero come questa backdoor sia riuscita a insediarsi in queste reti. La modalità di funzionamento del pacchetto magico, concepita per mimetizzarsi nel traffico quotidiano, presenta un rischio significativo per la sicurezza delle informazioni aziendali.

L'agente passivo è progettato per monitorare silenziosamente tutto il traffico TCP diretto al dispositivo, analizzando minutamente i pacchetti in arrivo per rilevare la presenza di uno dei cinque set di dati precisi. Questi segnali, pur essendo difficilmente visibili all'occhio della normale attività di rete, sono predisposti in modo tale da non essere intercettati dai sistemi di difesa. Questo miscuglio di understatement e attitudine aggressiva nel passare inosservati rende la minaccia rappresentata da J-Magic una sfida significativa da affrontare nel settore della sicurezza informatica.