Des acteurs de menace soupçonnés d’avoir des liens avec le gouvernement chinois ont infecté un appareil de sécurité largement utilisé de SonicWall. Il ont de plus réussi à ce que le malware reste actif même après que le périphérique ait reçu des mises à jour du micrologiciel.
Pour rappel, SonicWall est une entreprise américaine spécialisée dans les solutions de sécurité réseau. Elle propose une gamme de produits et services de sécurité, notamment des pare-feu, des passerelles de sécurité, des appliances de sécurité réseau, des solutions de protection des e-mails et des services de sécurité dans le cloud.
Pour obtenir une persistance à long terme à l’intérieur des réseaux, le malware vérifie les mises à jour du micrologiciel toutes les 10 secondes et ajoute un utilisateur root de backdoor au fichier téléchargé. Le but principal de ce malware est de voler des mots de passe cryptographiques hachés de tous les utilisateurs connectés et de fournir un porte aux pirates pour installer de nouveaux logiciels malveillants.
Mandiant, une société de sécurité acquise par Google, a attribué les attaques en cours contre les clients de SonicWall à un groupe appelé UNC4540, tandis que les attaques contre Pulse Secure ont été attribuées à plusieurs groupes de menaces chinois soutenant le gouvernement chinois.