Une campagne de piratage chinoise présumée a ciblé des appliances SonicWall Secure Mobile Access non corrigées pour installer des logiciels malveillants personnalisés qui établissent une persistance à long terme pour les campagnes de cyberespionnage.
Le logiciel malveillant déployé est personnalisé pour les appareils SonicWall et est utilisé pour voler les informations d’identification de l’utilisateur, fournir un accès shell aux attaquants et même persister à travers les mises à jour du firmware.
Le logiciel malveillant utilisé sur les appareils SonicWall se compose d’un binaire ELF, de la porte dérobée TinyShell et de plusieurs scripts bash qui témoignent d’une connaissance approfondie des appareils réseau ciblés.
Les récentes failles divulguées par SonicWall [1, 2, 3] qui ont affecté les dispositifs SMA ont permis un accès non authentifié à ces dispositifs, qui ont ensuite pu être utilisés dans des campagnes comme celle-ci.
Si l’un d’eux est trouvé, le logiciel malveillant s’injecte dans le paquet de mise à jour pour survivre même après les mises à jour du micrologiciel.
Comme dans le cas de la campagne SonicWall, les acteurs de la menace à l’origine des attaques de Fortinet ont fait preuve d’une connaissance approfondie des appareils et de leur fonctionnement afin d’injecter des logiciels malveillants personnalisés à des fins de persistance et de vol de données.
