Ciberdelincuentes de origen chino han propagado una campaña de piratería dirigida a los dispositivos SonicWall Secure Mobile Access (SMA) sin parches y cuya carga maliciosa resiste a las actualizaciones de 'firmware'.
SonicWall es una compañía de ciberseguridad que fabrica dispositivos de internet dirigidos al control de contenido y a la seguridad en el acceso remoto a los recursos corporativos alojados en las instalaciones, en la nube y en los centros de datos híbridos.
La firma de ciberseguridad Mandiant, en colaboración con SonicWall Product Security and Incident Response Team (PSIRT), ha identificado una presunta campaña china que ejecuta 'malware' en los dispositivos que esta produce y que no disponen de parches de seguridad.
Según ha explicado en un informe, este 'malware' tiene la capacidad de robar credenciales de usuario y proporcionar acceso Shell (SSH), esto es, un protocolo de administración remota que permite a los usuarios controlar y modificar sus servidores a través de mecanismos de autenticación.
Según las investigaciones de esta empresa y tras analizar un dispositivo infectado, este 'software' malicioso otorga a los atacantes accesos privilegiados al dispositivo. De ahí que el objetivo principal de este 'malware' sea robar credenciales de todos los usuarios registrados.
Una de las características destacadas de esta carga maliciosa es que es capaz de persistir a las actualizaciones del 'firmware' del dispositivo. Para ello, las rastrea cada 10 segundos y, cuando una de ellas está disponible, duplica el archivo para hacer una copia de seguridad, lo descomprime y copia el paquete de archivos maliciosos en él.
Según los investigadores, esta técnica "no es especialmente sofisticada, pero muestra un esfuerzo considerable por parte del atacante para comprender el ciclo de actualizaciones del dispositivo y desarrollar y probar después un método de persistencia", según han expresado en este análisis.
Desde Mandiant también han reconocido que no han podido determinar el origen de la infección, aunque barajan que este 'malware' o un tipo de 'software' malicioso se implementase en 2021. Por tanto, esta campaña maliciosa de origen chino se habría mantenido en activo hasta ahora a través de actualizaciones de 'firmware'.
La compañía también ha comentado que en los últimos años los ciberdelincuentes chinos han implementado diversos 'exploits' de día cero y campañas maliciosas para una variedad de dispositivos de red orientados a internet, como es el caso de los que fabrica SonicWall.