Należąca do Google firma Mandiant zajmująca się cyberbezpieczeństwem poinformowała w środę, iż zidentyfikowała wyrafinowane złośliwe oprogramowanie na urządzeniu SonicWall. Oprogramowanie pochodzi prawdopodobnie z Chin.
Malware został przeanalizowany przez zespół ds. bezpieczeństwa produktów i reagowania na incydenty Mandiant i SonicWall. Badacze odkryli, iż atakujący stworzył serię skryptów bash oraz wariant TinyShell w postaci pliku binarnego ELF.
Po analizie specjalistów można stwierdzić, iż oprogramowanie zostało zbudowane do tego konkretnego ataku. Umożliwia hakerom kradzież danych uwierzytelniających — wydaje się, iż to jego główny cel — i zapewnia dostęp do powłoki. Przestępcy celowali najwyraźniej w zaszyfrowane dane uwierzytelniające wszystkich zalogowanych użytkowników.
Według Mandiant złośliwe oprogramowanie „jest dobrze dopasowane do systemu, zapewnia stabilność i trwałość”. Jest w stanie przetrwać choćby w przypadku aktualizacji systemu układowego.
Malware został wykryty na niezałatanym urządzeniu SonicWall Secure Mobile Access (SMA), ale nie jest jasne, w jaki sposób osoby atakujące uzyskały początkowy dostęp. Mandiant zasugerował, iż hakerzy mogli wykorzystać znaną lukę w zabezpieczeniach, o której załatanie docelowy klient SonicWall nie zadbał. Cyberprzestępcy wykorzystują w swoich działaniach znane podatności, a choćby luki typu zero-day w urządzeniach SonicWall zadziwiająco często. My pisaliśmy o tym kilka razy, między innymi tutaj. Bardzo podobny do opisywanego atak producent firewalli potwierdził już rok temu. Również i to zdarzenie opisywaliśmy na KH. Wówczas dziurę wykrył FireEye. W opisie podatności firma zauważyła, iż hakerzy wydawali się mieć „intymną wiedzę” na temat działania produktu SonicWall.
Mandiant uważa, iż złośliwe oprogramowanie zostało wdrożone na urządzeniu prawdopodobnie w 2021 r., ale atakującemu udało się zachować dostęp, modyfikując aktualizacje systemu układowego w sposób zapewniający trwałość złośliwego oprogramowania.
Firma zajmująca się bezpieczeństwem jest świadoma istnienia innego chińskiego cyberprzestępcy stosującego podobne techniki, ale zdecydowała się śledzić zagrożenia oddzielnie. „Nowa grupa” jest w tej chwili śledzona przez Mandiant jako UNC4540.
SonicWall ogłosił w tym tygodniu, iż wydał aktualizację dla urządzeń z serii SMA 100 (10.2.1.7), która „zawiera kilka kluczowych funkcji bezpieczeństwa chroniących system operacyjny przed potencjalnym atakiem”. Zalecamy jak najszybszą aktualizację.