Należąca do Google firma Mandiant zajmująca się cyberbezpieczeństwem poinformowała w środę, że zidentyfikowała wyrafinowane złośliwe oprogramowanie na urządzeniu SonicWall. Oprogramowanie pochodzi prawdopodobnie z Chin.
Malware został przeanalizowany przez zespół ds. bezpieczeństwa produktów i reagowania na incydenty Mandiant i SonicWall. Badacze odkryli, że atakujący stworzył serię skryptów bash oraz wariant TinyShell w postaci pliku binarnego ELF.
Po analizie specjalistów można stwierdzić, że oprogramowanie zostało zbudowane do tego konkretnego ataku. Umożliwia hakerom kradzież danych uwierzytelniających — wydaje się, że to jego główny cel — i zapewnia dostęp do powłoki. Przestępcy celowali najwyraźniej w zaszyfrowane dane uwierzytelniające wszystkich zalogowanych użytkowników.
Według Mandiant złośliwe oprogramowanie „jest dobrze dopasowane do systemu, zapewnia stabilność i trwałość”. Jest w stanie przetrwać nawet w przypadku aktualizacji oprogramowania układowego.
Malware został wykryty na niezałatanym urządzeniu SonicWall Secure Mobile Access (SMA), ale nie jest jasne, w jaki sposób osoby atakujące uzyskały początkowy dostęp. Mandiant zasugerował, że hakerzy mogli wykorzystać znaną lukę w zabezpieczeniach, o której załatanie docelowy klient SonicWall nie zadbał. Cyberprzestępcy wykorzystują w swoich działaniach znane podatności, a nawet luki typu zero-day w urządzeniach SonicWall zadziwiająco często. My pisaliśmy o tym kilka razy, między innymi tutaj. Bardzo podobny do opisywanego atak producent firewalli potwierdził już rok temu. Również i to zdarzenie opisywaliśmy na KH. Wówczas dziurę wykrył FireEye. W opisie podatności firma zauważyła, że hakerzy wydawali się mieć „intymną wiedzę” na temat działania produktu SonicWall.
Mandiant uważa, że złośliwe oprogramowanie zostało wdrożone na urządzeniu prawdopodobnie w 2021 r., ale atakującemu udało się zachować dostęp, modyfikując aktualizacje oprogramowania układowego w sposób zapewniający trwałość złośliwego oprogramowania.
Firma zajmująca się bezpieczeństwem jest świadoma istnienia innego chińskiego cyberprzestępcy stosującego podobne techniki, ale zdecydowała się śledzić zagrożenia oddzielnie. „Nowa grupa” jest obecnie śledzona przez Mandiant jako UNC4540.
SonicWall ogłosił w tym tygodniu, że wydał aktualizację dla urządzeń z serii SMA 100 (10.2.1.7), która „zawiera kilka kluczowych funkcji bezpieczeństwa chroniących system operacyjny przed potencjalnym atakiem”. Zalecamy jak najszybszą aktualizację.