SonicWall: malware che sopravvive agli aggiornamenti firmware

Una sospetta campagna di hacking cinese ha colpito le appliance SonicWall Secure Mobile Access (SMA) prive di patch. Gli attacchi hanno comportato l’installazione di un malware personalizzato e persistente, funzionale ad attività di spionaggio a lungo termine.

Sono stati i ricercatori di Mandiant e SonicWall a scoprire la campagna e ad attribuirla a UNC4540, un threat actor che si ritiene di origine cinese. Il malware si compone di diversi elementi, fra cui la backdoor TinyShell e diversi script bash. Il codice lascia trasparire una buona conoscenza dei dispositivi di rete da parte dei programmatori, ed è evidente agli esperti la personalizzazione su misura per i dispositivi SonicWall.

Il funzionamento si può riassumere in pochi passaggi: il modulo principale esegue comandi SQL sul database dell'appliance per rubare le credenziali di tutti gli utenti connessi e relativi hash. Tali credenziali vengono copiate su un file di testo creato ad hoc e recuperate in un secondo momento per essere decifrate offline. Lo stesso modulo lancia inoltre TinyShell per garantirsi un facile accesso remoto al dispositivo, e aggiunge una patch al software legittimo SonicWall probabilmente per rendere persistente il malware in caso di spegnimento e reset dell’appliance.

Quello che i ricercatori non hanno ancora compreso è quale vulnerabilità sia stata utilizzata per compromettere i dispositivi. Mandiant infatti fa genericamente riferimento a “dispositivi privi di patch”. Potrebbe trattarsi di vecchie falle ormai chiuse, e in effetti fra i problemi corretti negli ultimi anni ce ne sono almeno tre relativi a dispositivi SMA che hanno permesso l'accesso non autenticato ai dispositivi.

Quello che è certo è che i dispositivi esaminati erano infetti dal 2021, il che indica una notevole persistenza dell’infezione e la capacità del malware di passare indenne a più aggiornamenti firmware. Un risultato del genere è stato possibile grazie all’impiego di script che garantiscono ridondanza e accesso a lungo termine sui dispositivi violati. Un esempio è quello denominato "iptabled", che è essenzialmente lo stesso modulo di firewalld, che viene attivato solo qualora il processo del malware principale si chiudesse, si arrestasse in modo anomalo o non potesse essere avviato.

I ricercatori hanno inoltre evidenziato uno script che controlla ogni 10 secondi la presenza di aggiornamenti firmware e, qualora venissero rilevati, il malware verrebbe iniettato direttamente nel pacchetto di installazione in modo da sopravvivere all’update. Lo stesso script installa inoltre una backdoor per mantenere l'accesso dopo l'installazione dell'aggiornamento firmware.

Per contrastare la minaccia il vendor consiglia di installare la release firmware 10.2.1.7 o successiva, che comprende una routine di File Integrity Monitoring (FIM) e di identificazione dei processi anomali, che dovrebbe rilevare e bloccare le attività descritte sopra.