Des acteurs de menace soupçonnés d’avoir des liens avec le gouvernement chinois ont infecté un appareil de sécurité largement utilisé de SonicWall. Il ont de plus réussi à ce que le malware reste actif même après que le périphérique ait reçu des mises à jour du micrologiciel.
Pour rappel, SonicWall est une entreprise américaine spécialisée dans les solutions de sécurité réseau. Elle propose une gamme de produits et services de sécurité, notamment des pare-feu, des passerelles de sécurité, des appliances de sécurité réseau, des solutions de protection des e-mails et des services de sécurité dans le cloud.
Pour obtenir une persistance à long terme à l’intérieur des réseaux, le malware vérifie les mises à jour du micrologiciel toutes les 10 secondes et ajoute un utilisateur root de backdoor au fichier téléchargé. Le but principal de ce malware est de voler des mots de passe cryptographiques hachés de tous les utilisateurs connectés et de fournir un porte aux pirates pour installer de nouveaux logiciels malveillants.
Offrez un café pour soutenir cette veille indépendante.
☕ Je soutiens DCODMandiant, une société de sécurité acquise par Google, a attribué les attaques en cours contre les clients de SonicWall à un groupe appelé UNC4540, tandis que les attaques contre Pulse Secure ont été attribuées à plusieurs groupes de menaces chinois soutenant le gouvernement chinois.
💡 Ne manquez plus l'essentiel
Recevez les analyses et tendances cybersécurité directement dans votre boîte mail.
💡 Note : Certaines images ou extraits présents dans cet article proviennent de sources externes citées à des fins d’illustration ou de veille. Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur notre cadre d’utilisation.
Vous appréciez ces analyses ?
Soutenez DCOD en offrant un café ☕
