Parte del cometido que tienen las actualizaciones de firmware o software están relacionadas con el parcheo de ciertos agujeros de seguridad de un dispositivo en cuestión. Sin embargo, nuevas técnicas de los actores de amenazas están poniendo esto en jaque con un virus que sobrevive a actualizaciones.
Nuevas técnicas de infección ahora comprueban si ha habido una actualización de firmware cada 10 segundos y vuelven a infectar el equipo en cuestión.
Ya ni sirven las actualizaciones de firmware
Unos actores de amenazas con una conexión con el gobierno chino están infectando un dispositivo de seguridad ampliamente utilizado de SonicWall con malware que permanece activo incluso después de que el dispositivo recibe actualizaciones de firmware.
El dispositivo en cuestión es el Secure Mobile Access 100 de SonicWall, un dispositivo de acceso remoto seguro que ayuda a las organizaciones a implementar fuerzas de trabajo remotas de manera segura.
Los clientes lo utilizan para otorgar controles de acceso a usuarios remotos, proporcionar conexiones VPN a las redes de la organización y establecer perfiles únicos para cada empleado. El acceso que tiene el SMA 100 a las redes de los clientes lo convierte en un objetivo atractivo para los actores de amenazas. En 2021, el dispositivo fue atacado por piratas informáticos sofisticados que explotaron lo que entonces era una vulnerabilidad de día cero.
El malware tiene la funcionalidad de robar credenciales de usuario, proporcionar acceso de shell y persistir a través de actualizaciones de firmware. “Los atacantes pusieron un esfuerzo significativo en la estabilidad y persistencia de sus herramientas. Esto permite que su acceso a la red persista a través de actualizaciones de firmware y mantenga un punto de apoyo en la red a través del dispositivo SonicWall”, escribieron los investigadores de Mandiant Daniel Lee, Stephen Eckels y Ben Read.
Reinfección del virus cada 10 segundos
Además de garantizar la estabilidad, los atacantes implementaron un proceso para garantizar que su acceso persistiría a través de las actualizaciones de firmware. Un script comprueba cada diez segundos si aparece una nueva actualización de firmware en la ruta destinada a ello en el dispositivo.
Si lo hace, el script copiará el archivo para hacer una copia de seguridad, lo descomprimirá, lo montará y luego copiará todo el paquete de archivos de malware. También ejecuta código que agrega un usuario root de puerta trasera al sistema. Luego vuelve a comprimir todo y lo vuelve a colocar con todo el malware incluido, listo para instalar. La técnica no es especialmente sofisticada, pero muestra un esfuerzo considerable por parte del atacante para comprender el ciclo de actualización del dispositivo y luego desarrollar y probar un método de persistencia.
Fuente: adslzone
