bilbytech.com

Campagne d’attaque sur un appareil Edge : indétectée depuis 2021 et résiste à la mise à jour du firmware.

Campagne d’attaque sur un appareil Edge : indétectée depuis 2021 et résiste à la mise à jour du firmware.

Edge
17 juillet 2025

Un modèle représentant la sécurité du calcul en périphérie avec des appareils connectés.

Image : ArtemisDiana/Adobe Stock

Comme l’a rapporté un nouveau document de recherche de Mandiant, un nouveau malware est constitué de plusieurs scripts bash et d’un seul fichier binaire au format Executable and Linkable Format (ELF) identifié comme une variante de backdoor TinyShell. Tinyshell est un outil disponible publiquement utilisé par plusieurs acteurs de la menace ( Figure A ).

Figure A

Liste des fichiers de malware utilisés dans l'attaque.

Image : Mandiant. Liste des fichiers de malware utilisés dans l’attaque.

Le processus principal du malware est un fichier nommé “firewalld”, qui exécute le backdoor TinyShell avec des paramètres qui lui permettent de fournir une reverse shell à l’attaquant. La reverse shell appelle un serveur C2 à un moment et à une date précisés par le script. Si aucune adresse IP n’est fournie lors de l’appel du fichier binaire TinyShell, il intègre une adresse IP codée en dur pour y accéder.

Couverture indispensable en matière de sécurité

  • Les principales menaces de cybersécurité pour 2023
  • Les meilleurs logiciels de gestion des actifs informatiques
  • Rencontrez l’appareil de cybersécurité portable le plus complet
  • Comment sécuriser votre email via le cryptage, la gestion des mots de passe et plus encore (TechRepublic Premium)

Une copie du fichier “firewalld” appelée “iptabled” a été modifiée pour assurer la continuité du malware principal en cas de crash ou de terminaison. Les deux scripts ont été configurés pour s’activer mutuellement si l’autre n’était pas déjà en cours d’exécution, ce qui a créé une instance de secours du processus principal du malware et a ainsi amélioré sa résilience.

Le processus “firewalld” est lancé au démarrage par un script de démarrage nommé “rc.local” destiné à faciliter l’accès prolongé de l’attaquant.

Un fichier nommé “ifconfig6” est également utilisé pour accroître la stabilité. Le processus principal “firewalld” ajoute un petit patch à un fichier binaire SonicWall légitime nommé “firebased”, qui remplace une chaîne de fermeture avec un appel au script “ipconfig6”. Les chercheurs de Mandiant soupçonnent que les attaquants ont rencontré des problèmes lorsque le script “firebased” fermait l’instance et ont décidé de créer un petit script pour le corriger.

Une fois que tout est en place, le but ultime du malware est d’exécuter régulièrement une commande SQL pour récupérer les informations d’identification hachées de tous les utilisateurs connectés. L’attaquant pourrait alors récupérer ces hachages pour les craquer hors ligne.

Mises à jour du micrologiciel modifiées

Un script bash nommé “geoBotnetd” trouvé sur un appareil infecté vérifie toutes les 10 secondes pour voir si une mise à jour du micrologiciel est apparue dans /cf/FIRMWARE/NEW/INITRD.GZ. Si c’est le cas, le script sauvegarde le fichier, le décompresse, le monte et copie ensuite l’intégralité du paquet de fichiers de malware. Il ajoute également un utilisateur root backdooré nommé “acme” au système. Le malware le re-zippe ensuite et le remet en place.

Cette technique, bien que pas très sophistiquée, montre à quel point les attaquants sont motivés à maintenir leur accès à long terme, car une connaissance approfondie du processus de mise à jour du micrologiciel est nécessaire pour créer et déployer une telle technique.

Les chercheurs de Mandiant indiquent que cette technique est cohérente avec une autre campagne d’attaque qu’ils ont analysée et qui soutenait les priorités clés du gouvernement chinois.

Une campagne de longue durée à des fins d’espionnage cybernétique

Bien que le vecteur d’infection principal reste inconnu dans cette campagne d’attaque, les chercheurs de Mandiant indiquent que le malware ou un de ses prédécesseurs a probablement été déployé en 2021 et que l’attaquant a probablement conservé l’accès, même à travers plusieurs mises à jour du micrologiciel.

Étant donné que le seul but du malware est de voler des informations d’identification utilisateur, il est fortement suspect que la campagne d’attaque suive des objectifs d’espionnage cybernétique.

Mandiant insiste sur le fait que développer un malware pour un appareil géré n’est pas une tâche triviale, car les fournisseurs n’offrent généralement pas d’accès direct au système d’exploitation ou même au système de fichiers de tels appareils. Cela rend plus difficile le développement d’exploits et de malware pour ces appareils.

Comment se protéger de cette menace

Pour cette attaque particulière, SonicWall exhorte les clients SMA100 à mettre à niveau vers la version 10.2.1.7 ou supérieure. La mise à niveau comprend des améliorations de durcissement telles que la surveillance de l’intégrité des fichiers (FIM) et l’identification des processus anormaux.

À plus grande échelle, protéger les appareils périphériques contre les compromissions nécessite une approche multicouche qui comprend à la fois des mesures de sécurité physiques et logicielles.

En outre, éduquer les employés aux meilleures pratiques de cybersécurité, telles que l’identification des emails de phishing et l’évitement des sites web ou des téléchargements suspects. Bien que le vecteur d’infection initial ne soit pas connu, il est très possible qu’il ait été des emails de phishing.

Divulgation : Je travaille pour Trend Micro, mais les opinions exprimées dans cet article m’appartiennent.

image

Infolettre Cybersecurity Insider

Renforcez les défenses de sécurité informatique de votre organisation en vous tenant au courant des dernières actualités, solutions et meilleures pratiques en matière de cybersécurité.

Livrée le mardi et le jeudi Inscrivez-vous dès aujourd’hui </div

Auteur
Henri
Rédacteur invité expert tech.
← Article précédent Article suivant →