Η εταιρεία κυβερνοασφάλειας Mandiant που ανήκει στην Google ανέφερε την Τετάρτη ότι εντόπισε εξελιγμένο κακόβουλο λογισμικό που πιστεύεται ότι είναι κινεζικής προέλευσης σε μια συσκευή SonicWall.
Το κακόβουλο λογισμικό, που προφανώς αναπτύχθηκε ως μέρος μιας κινεζικής εκστρατείας, αναλύθηκε από την ομάδα της Mandiant και της SonicWall’s Product Security and Incident Response Team (PSIRT). Οι ερευνητές διαπίστωσαν ότι ο εισβολέας είχε δημιουργήσει μια σειρά από σενάρια bash και μια TinyShell παραλλαγή με τη μορφή δυαδικού ELF.
Το προσαρμοσμένο κακόβουλο λογισμικό επιτρέπει στους εισβολείς να κλέψουν διαπιστευτήρια —αυτός φαίνεται να είναι ο κύριος σκοπός του— και παρέχει πρόσβαση στο κέλυφος. Οι χάκερ προφανώς στόχευσαν κατακερματισμένα διαπιστευτήρια για όλους τους συνδεδεμένους χρήστες.
Σύμφωνα με τη Mandiant, το κακόβουλο λογισμικό «είναι καλά προσαρμοσμένο στο σύστημα για να παρέχει σταθερότητα και επιμονή», έχοντας τη δυνατότητα να παραμείνει ακόμη και σε όλες τις αναβαθμίσεις υλικολογισμικού.
Το κακόβουλο λογισμικό εντοπίστηκε σε μια μη επιδιορθωμένη συσκευή SonicWall Secure Mobile Access (SMA), αλλά δεν είναι σαφές πώς οι εισβολείς απέκτησαν αρχική πρόσβαση. Ο Mandiant πρότεινε ότι οι χάκερ μπορεί να έχουν εκμεταλλευτεί μια γνωστή ευπάθεια που ο στοχευμένος πελάτης της SonicWall αμέλησε να επιδιορθώσει.
Δεν είναι ασυνήθιστο για τους παράγοντες απειλών να στοχεύουν γνωστούς και άρτιουςτρωτά σημεία μηδενικής ημέρας στις συσκευές SonicWall στις επιθέσεις τους.
Η Mandiant πιστεύει ότι το κακόβουλο λογισμικό αναπτύχθηκε πιθανότατα στη συσκευή το 2021, αλλά ο εισβολέας κατάφερε να διατηρήσει την πρόσβαση τροποποιώντας τις ενημερώσεις υλικολογισμικού με τρόπο που εξασφάλιζε την επιμονή του κακόβουλου λογισμικού.
Η εταιρεία ασφαλείας γνωρίζει έναν άλλο κινεζικό παράγοντα απειλών που χρησιμοποιεί παρόμοιες τεχνικές, αλλά αποφάσισε να παρακολουθεί τις απειλές ξεχωριστά. Η νέα ομάδα παρακολουθείται επί του παρόντος από τη Mandiant ως UNC4540.
Η SonicWall ανακοίνωσε αυτή την εβδομάδα ότι κυκλοφόρησε μια ενημέρωση για το SMA 100 συσκευές σειράς (10.2.1.7), η οποία «περιλαμβάνει πολλά βασικά χαρακτηριστικά ασφαλείας που προστατεύουν το λειτουργικό σύστημα από πιθανή επίθεση».