Un’operazione di hacking sospetta legata alla Cina ha preso di mira gli apparecchi SonicWall Secure Mobile Access (SMA) 100 non aggiornati per rilasciare malware e stabilire una persistenza a lungo termine. La società di sicurezza informatica Mandiant ha dichiarato in un rapporto tecnico pubblicato questa settimana che “il malware ha la funzionalità di rubare le credenziali degli utenti, fornire accesso shell e persistere attraverso gli aggiornamenti del firmware”. Il malware è composto da una collezione di script bash e un singolo binario ELF identificato come backdoor TinyShell, progettato per concedere all’attaccante accesso privilegiato ai dispositivi SonicWall. L’obiettivo generale del set di strumenti personalizzati sembra essere il furto di credenziali, consentendo all’avversario di sottrarre le credenziali crittografate di tutti gli utenti connessi e fornire inoltre l’accesso shell al dispositivo compromesso.
Mandiant ha anche evidenziato la conoscenza approfondita dell’attaccante del software del dispositivo e la loro capacità di sviluppare malware su misura in grado di ottenere la persistenza attraverso gli aggiornamenti del firmware e mantenere una presenza costante nella rete. Non si conosce il vettore di intrusioni iniziale utilizzato nell’attacco, ma si sospetta che il malware sia stato probabilmente distribuito sui dispositivi, in alcuni casi già nel 2021, sfruttando falle di sicurezza note. SonicWall ha rilasciato degli aggiornamenti di sicurezza (versione 10.2.1.7) che includono nuovi miglioramenti di sicurezza, come il monitoraggio dell’integrità dei file (FIM) e l’identificazione dei processi anomali.
La scoperta arriva quasi due mesi dopo che un altro attore minaccia legato alla Cina è stato scoperto a sfruttare una vulnerabilità ormai risolta in Fortinet FortiOS SSL-VPN come zero-day in attacchi che hanno preso di mira un’entità governativa europea e un provider di servizi gestiti (MSP) in Africa. “Negli ultimi anni gli attaccanti cinesi hanno utilizzato più volte exploit zero-day e malware per una varietà di dispositivi di rete esposti su internet come strada per intrusione completa nell’azienda”, ha dichiarato Mandiant.
