Dans le contexte: SonicWall est une société américaine qui vend des appareils Internet pour la sécurité du réseau et l’accès à distance, ce qui en fait une cible potentiellement très attrayante pour les cybercriminels qui tentent de déployer une présence persistante dans des organisations de premier plan à travers le monde.
Les chercheurs en sécurité de Mandiant ont découvert une nouvelle campagne malveillante contre les appliances réseau vendues par SonicWall. Les acteurs inconnus derrière la campagne sont probablement chinois et travaillent au profit de la dictature communiste, selon les analystes, et le groupe est actuellement suivi sous le numéro UNC4540.
L’attaque vise le Accès mobile sécurisé (SMA) 100 device, un dispositif d’accès à distance sécurisé utilisé par les entreprises et les organisations pour déployer et gérer les télétravailleurs. Le SMA 100 peut fournir un contrôle d’accès aux utilisateurs distants, des connexions VPN et des profils uniques pour chaque utilisateur. En 2021, l’appliance a été ciblée par des pirates qui ont exploité une faille zero-day.
La menace découverte par Mandiant est conçu pour survivre aux dernières mises à jour du micrologiciel fournies par SonicWall. Pour atteindre ce type de persistance, le logiciel malveillant vérifie à distance les nouvelles mises à jour du micrologiciel toutes les 10 secondes. Lorsqu’une mise à jour est disponible, le logiciel malveillant télécharge l’archive, la décompresse et la monte, puis s’y copie.
Le logiciel malveillant ajoute également un utilisateur racine dérobé au package, avant de recompresser à nouveau les fichiers pour le remettre en place et prêt à être installé. Une fois la mise à jour terminée, le logiciel malveillant continuera également à fonctionner dans le nouvel environnement du micrologiciel.
Mandiant a déclaré que la technique n’est pas particulièrement sophistiquée, mais elle montre les efforts considérables déployés par les cybercriminels inconnus pour étudier et comprendre le cycle de mise à jour de l’appliance.
“Ces dernières années”, déclarent les analystes, “les attaquants chinois ont déployé plusieurs exploits et logiciels malveillants de type “zero-day” pour une variété d’appareils réseau connectés à Internet” afin d’obtenir des capacités d’intrusion d’entreprise complètes. La nouvelle instance UNC4540 est un nouvel épisode de cette longue liste d’attaques sophistiquées, et Mandiant s’attend à ce que cette tendance se poursuive “à court terme”.
Après avoir analysé le paquet malveillant, les chercheurs de Mandiant ont trouvé une collection de scripts Bash (Bash étant un shell Unix couramment utilisé comme interface de connexion par défaut pour les systèmes d’exploitation Linux) et un seul fichier binaire ELF (Linux) identifié comme une variante de TinyShell.
Les chercheurs n’ont pas encore identifié le vecteur d’infection initial, mais SonicWall (qui a collaboré avec Mandiant pour découvrir la menace) a publié un nouvelle mise à jour du firmware (10.2.1.7) pour SMA 100. La société recommande également aux clients et aux administrateurs de consulter régulièrement les journaux des appareils pour identifier tout signe d’infection en cours.