EN BREF
  • 🔍 J-Magic exploite des « paquets magiques » pour rester indétectable dans les réseaux VPN.
  • 💻 Ce malware réside uniquement en mémoire, rendant sa détection difficile.
  • 📊 Les conditions complexes de son activation garantissent une discrétion maximale.
  • 🔒 Un mécanisme de défi-réponse RSA protège l’accès non autorisé à la porte dérobée.

J-Magic : une menace numérique insidieuse a récemment été découverte dans le monde des VPNs. Dévoilé par des chercheurs, ce logiciel malveillant a trouvé refuge dans des dizaines de réseaux d’entreprises fonctionnant sous le système d’exploitation Junos OS de Juniper Network. L’astuce de ce backdoor réside dans son agent passif, qui reste en sommeil jusqu’à recevoir un « paquet magique ».

Cette méthode ingénieuse lui permet non seulement de rester invisible pour les logiciels de détection, mais aussi de se protéger des accès non autorisés. Cette technique, bien que complexe, montre à quel point les cybermenaces évoluent vers des formes plus discrètes et sophistiquées, mettant en lumière la nécessité d’améliorer constamment nos défenses numériques.

Les secrets des « paquets magiques »

Avec un simple geste lactivation du VPN protège la confidentialité en ligne créant un bouclier contre les menaces numériques

Les paquets magiques sont au cœur de l’efficacité du backdoor J-Magic. Contrairement aux méthodes traditionnelles où un malware pourrait ouvrir un port spécifique pour écouter les connexions entrantes, J-Magic utilise une approche plus subtile. Le malware écoute tout le trafic entrant et recherche des données spécifiques qui répondent à certaines conditions précises. Cette méthode offre une discrétion inégalée en évitant d’attirer l’attention des défenseurs de réseau qui scrutent régulièrement les ports ouverts pour repérer d’éventuelles infections.

Le fonctionnement de ces paquets repose sur des conditions obscures qui rendent leur détection difficile. Par exemple, le malware analyse les paquets pour repérer une séquence de deux octets à un décalage précis dans les options TCP. Ensuite, il vérifie la taille des options TCP, l’adresse IP de l’attaquant dans le champ du numéro de séquence de l’en-tête TCP, et le port de destination, qui doit être le 443. Ces conditions, bien que complexes, permettent au backdoor de se cacher au sein du trafic réseau légitime.

Une fois qu’un paquet magique est détecté, J-Magic procède à une étape supplémentaire pour garantir la sécurité. Le backdoor envoie un défi sous forme de texte chiffré à l’aide d’une clé RSA publique. Seule une entité possédant la clé secrète correspondante peut répondre correctement à ce défi, empêchant ainsi d’autres attaquants de profiter de la faille. Ce mécanisme de défi-réponse s’assure que seuls les initiés peuvent accéder à la porte dérobée, ajoutant une couche de sécurité supplémentaire.

2 200 ordinateurs oubliés pendant 23 ans dans une grange sont mis en vente sur eBay pour moins de 100 euros chacun, créant la ruée des collectionneurs

Une menace en mémoire

Le backdoor J-Magic se distingue aussi par sa capacité à résider uniquement en mémoire, une caractéristique qui rend sa détection encore plus ardue pour les défenseurs. En effet, un malware en mémoire n’écrit rien sur le disque dur, rendant ainsi son identification par des logiciels antivirus traditionnels plus compliquée. Cette particularité a incité les chercheurs de Lumin Technology’s Black Lotus Lab à s’intéresser de près à ce phénomène.

Les chercheurs ont découvert J-Magic grâce à la plateforme VirusTotal, où ils ont déterminé que ce malware avait infiltré les réseaux de 36 organisations. Cependant, le mystère demeure quant à la manière dont le backdoor a été installé initialement. La capacité de J-Magic à rester entièrement en mémoire est un exploit remarquable, qui exige une analyse approfondie des méthodes de défense actuelles pour contrer de telles menaces.

L’approche de J-Magic, combinant un ciblage spécifique des routeurs Junos OS et un agent passif en mémoire, représente une confluence de techniques de pointe dans le domaine de la cybersécurité. C’est une illustration claire de l’évolution des cybermenaces, où l’innovation technologique est autant le domaine des attaquants que des défenseurs.

Cette lettre mystérieuse « C: » de Windows cache un secret oublié depuis 40 ans : découvrez son origine fascinante

Les conditions de déclenchement

Une infrastructure numérique interconnectée où chaque dispositif communique en toute sécurité grâce à des technologies avancées de cryptage

J-Magic repose sur cinq conditions spécifiques pour déclencher son action, chacune conçue pour se fondre dans le trafic réseau normal. Ces conditions sont suffisamment obscures pour ne pas être détectées par les produits de défense du réseau, tout en étant assez inhabituelles pour ne pas se retrouver dans le trafic normal.

Par exemple, une condition exige qu’à un certain décalage, une séquence précise de deux octets soit présente dans les options TCP. Une autre condition nécessite que le port source de l’en-tête TCP contienne une séquence définie. Ces conditions sont soigneusement élaborées pour garantir que seuls les paquets intentionnelsment conçus puissent activer le backdoor.

L’utilisation de ces conditions complexes permet à J-Magic de fonctionner sans être détecté, tout en garantissant que seuls les acteurs malveillants ayant connaissance de ces conditions peuvent exploiter la faille. Cela renforce l’idée que les cyberattaques modernes sont de plus en plus sophistiquées, utilisant des techniques avancées pour contourner les systèmes de défense traditionnels.

Ce brocanteur pensait décrocher un jackpot : des processeurs AMD à 7 € pièce… mais les boîtes étaient vides

Historiques et implications

Le concept de paquet magique n’est pas nouveau dans le monde des cyberattaques. Des acteurs de menace, notamment ceux affiliés à des États, ont été surpris en train d’utiliser des méthodes similaires. Par exemple, des campagnes passées ont été attribuées à des groupes travaillant pour le gouvernement chinois. Ces techniques ont également été employées dans des rootkits pour infecter des unités de traitement graphique (GPU).

L’agent J-Magic est une variante du cd00r, un proof-of-concept publié pour la première fois en 2000 et mis à jour en 2014. Ce logiciel a été conçu pour tester l’idée d’un serveur backdoor complètement invisible. Cette année-là, des chercheurs en sécurité ont découvert que le groupe Turla implémentait l’agent cd00r dans son propre backdoor personnalisé.

Ceux qui défendent les réseaux doivent être conscients de l’évolution de ces menaces et des techniques d’attaque. Comprendre l’historique et les méthodes d’attaque peut permettre de mieux se préparer à contrer ces menaces futures, en adaptant les stratégies de défense pour répondre aux nouvelles réalités des cybermenaces.

Un avenir incertain

Black Lotus Labs a déterminé que la campagne J-Magic était active de la mi-2023 jusqu’à au moins mi-2024. Les cibles provenaient de divers secteurs, notamment les semi-conducteurs, l’énergie, la fabrication et les technologies de l’information. Ces informations soulignent l’importance de la vigilance constante et de l’adaptation continue des mesures de sécurité dans tous les secteurs.

La capacité de J-Magic à rester actif pendant une période prolongée sans être détecté montre à quel point les menaces peuvent être résilientes et difficiles à éradiquer. Les entreprises doivent se préparer à des attaques de plus en plus complexes et à des menaces qui évoluent constamment pour contourner les défenses existantes.

Comment les entreprises peuvent-elles s’adapter à cette nouvelle réalité, où les menaces sont plus sophistiquées et insaisissables que jamais ? La réponse réside peut-être dans une combinaison de technologies avancées, de surveillance proactive et de collaboration entre les experts en cybersécurité du monde entier.

Ça vous a plu ? 4.6/5 (26)

Partagez maintenant.

Eva, journaliste avec 15 ans d’expérience dans des médias prestigieux comme Masa Journey et Upsider, est diplômée de l’Université de Tel Aviv et de la Sorbonne. Elle décrypte les innovations technologiques et les tendances geek avec une expertise pointue, offrant des analyses captivantes et accessibles. Contact : [email protected].

10 commentaires
  1. hélène le

    Est-ce que ce genre de malware peut affecter les VPN grand public ou c’est réservé aux entreprises ?

    • Ça ne semble toucher que le matériel Juniper, qui est du matériel professionnel.

      Vu la complexité de l’attaque, il y a peu de chances, dans un temps court, qu’elle cible des particuliers.

  2. emilieombre le

    Les « paquets magiques » me font penser à Harry Potter ! 🧙‍♂️ Quelqu’un sait comment ça marche vraiment ?

  3. Merci pour cet article, c’est vraiment effrayant de voir à quel point les cyberattaques sont sophistiquées !

  4. J’aimerais bien savoir comment les chercheurs ont découvert J-Magic. Ils doivent être des génies !

  5. christelle6 le

    Pourquoi les « paquets magiques » sont-ils si difficiles à détecter ? C’est vraiment mystérieux… 🤔

  6. Julieguerrier le

    J’espère que les entreprises prennent ce genre de menaces au sérieux et renforcent leurs défenses.

  7. aurélie0 le

    Les « paquets magiques », c’est un peu trop futuriste pour moi. 😅 Quelqu’un peut m’expliquer simplement ?

Publiez votre avis