Este malware infecta dispositivos de seguridad ampliamente utilizados y sobrevive a las actualizaciones de firmware
Hackers relacionados con el gobierno chino están infectando dispositivos de seguridad ampliamente utilizados de SonicWall con malware. Pero eso no es lo más llamativo; lo novedoso es que el malware permanece activo incluso después de que el dispositivo recibe actualizaciones de firmware.
El Secure Mobile Access (SMA) 100 de SonicWall es un dispositivo de acceso remoto seguro que ayuda a las organizaciones a implementar fuerzas de trabajo remotas de manera segura. Los clientes lo utilizan para otorgar controles de acceso granular a usuarios remotos, proporcionar conexiones VPN a las redes de la organización y establecer perfiles únicos para cada empleado. El acceso que tiene el SMA 100 a las redes de los clientes lo convierte en un objetivo atractivo para los atacantes.
En 2021, el dispositivo fue atacado por hackers sofisticados que explotaron lo que entonces era una vulnerabilidad de día cero. Los dispositivos de seguridad de Fortinet y Pulse Secure han sufrido ataques similares en los últimos años.
Ganar persistencia a largo plazo dentro de las redes
Ayer, la firma de seguridad Mandiant publicó un informe que afirma que los atacantes con un nexo sospechoso con China están involucrados en una campaña para mantener la persistencia a largo plazo mediante la ejecución de malware en dispositivos SonicWall SMA sin parches. La campaña se destacó por la capacidad del malware de permanecer en los dispositivos incluso después de que su firmware recibiera una actualización.
“Los atacantes pusieron un esfuerzo significativo en la estabilidad y persistencia de sus herramientas. Esto permite que su acceso a la red persista a través de actualizaciones de firmware y mantenga un punto de apoyo en la red a través del dispositivo SonicWall”.
Investigadores de Mandiant
Para lograr esta persistencia, el malware busca actualizaciones de firmware disponibles cada 10 segundos. Cuando una actualización está disponible, el malware copia el archivo archivado para hacer una copia de seguridad, lo descomprime, lo monta y luego copia todo el paquete de archivos maliciosos en él. El malware también agrega un usuario root como puerta trasera al archivo montado. Luego, el malware vuelve a comprimir el archivo para que esté listo para la instalación.
“La técnica no es especialmente sofisticada, pero muestra un esfuerzo considerable por parte del atacante para comprender el ciclo de actualización del dispositivo, luego desarrollar y probar un método de persistencia”.
Hackers relacionados con China
Las técnicas de persistencia son consistentes con una campaña de ataque en 2021 que usó 16 familias de malware para infectar dispositivos Pulse Secure. Mandiant atribuyó los ataques a múltiples grupos de atacantes, incluidos los identificados como UNC2630, UNC2717, que según la compañía respaldan “prioridades claves del gobierno chino“. Mandiant atribuyó los ataques en curso contra los clientes de SonicWall SMA 100 a un grupo identificado como UNC4540.
En los últimos años, los atacantes chinos han implementado múltiples exploits de día cero y malware para una variedad de dispositivos de red orientados a Internet. Esto como una ruta hacia la intrusión empresarial completa; y la instancia reportada aquí es parte de un patrón reciente que Mandiant espera que continúe en el futuro. a corto plazo.
Acceso altamente privilegiado
El objetivo principal del malware parece ser el robo de contraseñas criptográficamente codificadas para todos los usuarios que han iniciado sesión. También proporciona una shell web que los atacantes pueden usar para instalar nuevo malware.
El análisis de un dispositivo comprometido reveló una colección de archivos que le dan al atacante un acceso altamente privilegiado al dispositivo. El malware consiste en una serie de scripts bash y un solo binario ELF identificado como una variante de TinyShell. El comportamiento general del conjunto de scripts bash maliciosos muestra una comprensión detallada del dispositivo y está bien adaptado al sistema para brindar estabilidad y persistencia.
La lista de malware utilizado en los ataques es el siguiente:
| Ruta | Hash | Función |
| /bin/firewalld | e4117b17e3d14fe64f45750be71dbaa6 | Proceso principal de malware |
| /bin/httpsd | 2d57bcb8351cf2b57c4fd2d1bb8f862e | Puerta trasera TinyShell |
| /etc/rc.d/rc.local | 559b9ae2a578e1258e80c45a5794c071 | Persistencia de arranque para firewalld |
| /bin/iptabled | 8dbf1effa7bc94fc0b9b4ce83dfce2e6 | Proceso principal de malware redundante |
| /bin/geoBotnetd | 619769d3d40a3c28ec83832ca521f521 | Script de puerta trasera de firmware |
| /bin/ifconfig6 | fa1bf2e427b2defffd573854c35d4919 | Script de apagado elegante |
Según los investigadores, el principal punto de entrada del malware es una secuencia de comandos bash denominada firewalld. El script es responsable de ejecutar un comando SQL para lograr el robo de credenciales y la ejecución de los demás componentes. Ahora bien, los investigadores no saben cuál es el vector de infección inicial.
La semana pasada, SonicWall publicó un aviso que instaba a los usuarios de SMA 100 a actualizarse a la versión 10.2.1.7 o superior. Esas versiones incluyen mejoras como el monitoreo de integridad de archivos y la identificación de procesos anómalos. El parche está disponible aquí. Los usuarios también deben revisar periódicamente los registros en busca de signos de compromiso, incluidos inicios de sesión anormales o tráfico interno.
