Μια ύποπτη κινεζική εκστρατεία hacking στοχεύει unpatched appliances SonicWall Secure Mobile Access (SMA) για να εγκαταστήσει προσαρμοσμένο κακόβουλο λογισμικό που καθιερώνει μακροπρόθεσμο persistence για εκστρατείες κατασκοπείας στον κυβερνοχώρο.
Το αναπτυσσόμενο κακόβουλο λογισμικό είναι προσαρμοσμένο για συσκευές SonicWall και χρησιμοποιείται για την κλοπή διαπιστευτηρίων χρήστη, την παροχή πρόσβασης shell στους εισβολείς και ακόμη και τη διατήρηση μέσω αναβαθμίσεων firmware.
Η ομάδα PSIRT της Mandiant και της SonicWall αποκάλυψε την εκστρατεία, η οποία πιστεύεται ότι προέρχεται από μια κινεζική ομάδα γνωστή ως UNC4540.
Νέο κακόβουλο λογισμικό στοχεύει συσκευές SonicWall
Οι συσκευές SonicWall έχουν γίνει στόχος κακόβουλου λογισμικού που αποτελείται από ένα ELF binary, το backdoor TinyShell και διάφορα bash scripts που αποδεικνύουν μια περίπλοκη γνώση της αρχιτεκτονικής του συστήματος.
Το ‘Firewalld’ είναι το κύριο module αυτής της κακόβουλης επίθεσης, η οποία εκτελεί αδίστακτα εντολές SQL για να αποκτήσει και να κλέψει τα hashed credentials όλων των συνδεδεμένων χρηστών από τη βάση δεδομένων που στοχεύει.
Τα κλεμμένα credentials αντιγράφονται σε ένα αρχείο κειμένου που δημιουργήθηκε από τον εισβολέα στο ‘tmp/syslog.db’ και αργότερα ανακτώνται για να γίνουν cracked offline.
Επιπλέον, το firewalld εκκινεί άλλα malware components, όπως το TinyShell, για να δημιουργήσει ένα reverse shell στη συσκευή για εύκολη απομακρυσμένη πρόσβαση.
Τέλος, το κύριο malware module προσθέτει και μια μικρή ενημέρωση κώδικα στο νόμιμο binary «firebased» της SonicWall, αλλά οι ερευνητές του Mandiant δεν μπόρεσαν να προσδιορίσουν τον ακριβή σκοπό του.
Οι ερευνητές ανέφεραν ότι αυτή η προσαρμογή ενισχύει τη σταθερότητα του κακόβουλου λογισμικού όταν ξεκινά ο τερματισμός του στη συσκευή.
Παρόλο που η ακριβής ευπάθεια που χρησιμοποιήθηκε για την παραβίαση των συσκευών είναι άγνωστη, η Mandiant κατέληξε στο συμπέρασμα ότι αυτές οι συσκευές δεν είχαν ενημερωθεί, επομένως ήταν πιθανότατα επιρρεπείς σε παλαιότερα ελαττώματα.
Πρόσφατα, η SonicWall εξέθεσε ευπάθειες στις συσκευές SMA που επέτρεπαν σε μη εξουσιοδοτημένους χρήστες να έχουν πρόσβαση σε αυτά τα συστήματα. Αυτό θα μπορούσε να αξιοποιηθεί από κακόβουλους φορείς για διάφορες εκστρατείες επίθεσης.
Persistence και ανθεκτικότητα
Η Mandiant λέει ότι υπάρχουν ενδείξεις ότι το κακόβουλο λογισμικό εγκαταστάθηκε στα εξεταζόμενα συστήματα μέχρι το 2021 και παρέμεινε μέσω πολλαπλών επακόλουθων ενημερώσεων υλικολογισμικού στη συσκευή.
Οι κακόβουλοι φορείς χρησιμοποίησαν scripts για διαρκή πρόσβαση σε παραβιασμένες συσκευές, αποτελώντας σοβαρή απειλή.
Για παράδειγμα, το script “iptabled” είναι πανομοιότυπο με το firewalld, ωστόσο, μόνο ένα από αυτά θα ενεργοποιηθεί μόλις τερματιστεί ή αποτύχει να ξεκινήσει η κύρια διαδικασία κακόβουλου λογισμικού. Αυτό το startup script – με την ονομασία “rc.local” – διαχειρίζεται ποιο module θα εκτελεστεί σε αυτή την κρίσιμη στιγμή.
Επιπλέον, οι εισβολείς εφάρμοσαν μια διαδικασία όπου ένα bash script (“geoBotnetd”) ελέγχει για νέες ενημερώσεις firmware στο “/cf/FIRMWARE/NEW/INITRD.GZ” κάθε 10 δευτερόλεπτα. Εάν βρεθεί κάποιο, το κακόβουλο λογισμικό εγχέεται στο πακέτο αναβάθμισης για να επιβιώσει ακόμα και μετά από firmware upgrades.
Το script προσθέτει επίσης κρυφά έναν backdoor χρήστη με το όνομα “acme” στο αρχείο αναβάθμισης για να διασφαλίσει ότι μπορεί να διατηρήσει την πρόσβασή του μετά την εφαρμογή της ενημέρωσης firmware στην παραβιασμένη συσκευή.
Η SonicWall ενθαρρύνει έντονα τους διαχειριστές συστημάτων να εγκαθιστούν τις τελευταίες ενημερώσεις ασφαλείας για τις συσκευές SMA100, προκειμένου να εγγυηθούν τη βέλτιστη προστασία.
Επί του παρόντος, η προτεινόμενη έκδοση που προτείνεται είναι η 10.2.1.7 ή υψηλότερη. Αυτή περιλαμβάνει τo File Integrity Monitoring (FIM) και την αναγνώριση ανώμαλων διεργασιών που μπορούν να ανιχνεύσουν και να αποτρέψουν τυχόν απειλές.
Αυτή η καμπάνια έχει πολλές ομοιότητες με πρόσφατες επιθέσεις που στόχευαν μια ευπάθεια zero-day σε συσκευές Fortinet SSL-VPN που χρησιμοποιούνται από κυβερνητικούς οργανισμούς και στόχους που σχετίζονται με την κυβέρνηση.
Παρόμοια με την καμπάνια SonicWall, οι απειλητικοί παράγοντες πίσω από τις Fortinet επιθέσεις έδειξαν βαθιά γνώση σχετικά με τις συσκευές και τον τρόπο με τον οποίο λειτουργούσαν για να εισάγουν προσαρμοσμένο κακόβουλο λογισμικό για παραμονή και κλοπή δεδομένων.
Πηγή πληροφοριών: bleepingcomputer.com
 για να εγκαταστήσει...){kind=link}