Une campagne de piratage chinoise présumée a ciblé les appliances SonicWall Secure Mobile Access (SMA) non corrigées pour installer des logiciels malveillants personnalisés qui établissent une persistance à long terme pour les campagnes de cyberespionnage.
Le logiciel malveillant déployé est personnalisé pour les appareils SonicWall et est utilisé pour voler les informations d’identification des utilisateurs, fournir un accès shell aux attaquants et même persister grâce aux mises à niveau du micrologiciel.
La campagne a été découverte par l’équipe PSIRT de Mandiant et SonicWall, qui suit l’acteur derrière elle sous le nom UNC4540, probablement d’origine chinoise.
Un nouveau malware cible les appareils SonicWall
Le logiciel malveillant utilisé sur les appareils SonicWall se compose d’un binaire ELF, de la porte dérobée TinyShell et de plusieurs scripts bash qui montrent une compréhension approfondie des appareils réseau ciblés.
« Le comportement global de la suite de scripts bash malveillants montre une compréhension détaillée de l’appliance et est bien adapté au système pour assurer la stabilité et la persistance », explique Mandiant.
Le module principal, nommé « firewalld », exécute des commandes SQL sur la base de données de l’appliance pour voler les informations d’identification hachées de tous les utilisateurs connectés.
Les informations d’identification volées sont copiées sur un fichier texte créé par l’attaquant sur ‘tmp/syslog.db’ et sont ensuite récupérées pour être piratées hors ligne.
De plus, firewalld lance d’autres composants malveillants, comme TinyShell, pour établir un shell inversé sur l’appliance pour un accès à distance facile.
Enfin, le module principal de logiciels malveillants ajoute également un petit correctif au binaire SonicWall légitime « basé sur le feu », mais les chercheurs de Mandiant n’ont pas pu déterminer son objectif exact.
Les analystes émettent l’hypothèse que cette modification contribue à la stabilité du malware lorsque la commande d’arrêt est entrée sur l’appareil.
Bien qu’il ne soit pas clair quelle vulnérabilité a été utilisée pour compromettre les appareils, Mandiant indique que les appareils ciblés n’étaient pas corrigés, ce qui les rend probablement vulnérables aux anciennes failles.
Des failles récentes révélées par SonicWall [1, 2, 3] qui affectaient les appareils SMA permettaient un accès non authentifié aux appareils, qui pouvaient ensuite être utilisés dans des campagnes comme celle-ci.
Persistance et résilience
Mandiant dit qu’il y a des signes que le logiciel malveillant a été installé sur les systèmes examinés depuis 2021 et a persisté à travers plusieurs mises à jour ultérieures du micrologiciel sur l’appliance.
Les acteurs de la menace y sont parvenus en utilisant des scripts qui offrent une redondance et garantissent un accès à long terme aux appareils piratés.
Par exemple, il existe un script nommé « iptabled » qui est essentiellement le même module que firewalld mais qui ne sera appelé par le script de démarrage (« rc.local ») que si le processus principal du logiciel malveillant se termine, se bloque ou ne peut pas être lancé.
De plus, les attaquants ont implémenté un processus dans lequel un script bash (« geoBotnetd ») vérifie les nouvelles mises à jour du micrologiciel dans « /cf/FIRMWARE/NEW/INITRD.GZ » toutes les 10 secondes. S’il en trouve un, le logiciel malveillant s’injecte dans le package de mise à niveau pour survivre même après les mises à niveau du micrologiciel.
Le script ajoute également un utilisateur de porte dérobée nommé « acme » sur le fichier de mise à niveau afin qu’il puisse conserver l’accès après l’application de la mise à jour du micrologiciel à l’appliance piratée.
Il est conseillé aux administrateurs système d’appliquer les dernières mises à jour de sécurité fournies par SonicWall pour les appliances SMA100.
La version cible recommandée pour le moment est 10.2.1.7 ou supérieure, qui inclut la surveillance de l’intégrité des fichiers (FIM) et l’identification des processus anormaux, qui devraient détecter et arrêter cette menace.
Cette campagne partage de nombreuses similitudes avec des attaques récentes qui ciblaient une vulnérabilité de type « zero-day » dans les appareils Fortinet SSL-VPN utilisés par des organisations gouvernementales et des cibles liées au gouvernement.
Semblable à la campagne SonicWall, les acteurs de la menace derrière les attaques Fortinet ont montré une connaissance intime des appareils et de la façon dont ils fonctionnaient pour injecter des logiciels malveillants personnalisés pour la persistance et le vol de données.
« Ces dernières années, les attaquants chinois ont déployé plusieurs exploits et logiciels malveillants de type « zero-day » pour une variété d’appareils réseau connectés à Internet comme voie d’intrusion complète dans l’entreprise, et l’instance rapportée ici fait partie d’un modèle récent que Mandiant s’attend à poursuivre dans un proche avenir. terme », prévient Mandiant dans le rapport.