Un groupe de hackers récemment découvert, appelé UNC1945, a été trouvé pour utiliser une vulnérabilité zero-day inconnue auparavant contre les ordinateurs Solaris OS.
Le système d'exploitation appartenant à Oracle est principalement utilisé par les grandes entreprises dans les configurations d'entreprise complexes. Cependant, ce bug du jour zéro a permis aux criminels de s'introduire dans les réseaux internes. Toutes les informations disponibles sont suivies dans l'avis CVE-2020-14871 et surveillées par la communauté de sécurité.
UNC1945 Hacking Group se bat contre les systèmes Solaris avec un bug Zero-Day suivi dans CVE-2020-14871
Le système d'exploitation Solaris est un service d'entreprise qui est principalement déployé dans des réseaux d'entreprise complexes. Il est basé sur une structure traditionnelle de type UNIX et peut donc être utilisé à diverses fins: effectuer des calculs complexes, gestion des paramètres réseau, ou au service des données.
Il a été constaté que le groupe de piratage connu sous le nom UNC1945 exploite différents types d'attaques contre les serveurs Solaris situés derrière les réseaux d'entreprise.. Pour le moment, on ne sait pas grand-chose des hackers, à l'exception du fait qu'ils ont réussi à utiliser une vulnérabilité jusque-là inconnue, appelé bogue du jour zéro. Le rapport de sécurité indiquant cette brèche dangereuse provient de l'équipe de recherche de Mandiant. Les attaques contre des environnements similaires sont en augmentation. Récemment, nous avons signalé que des groupes de piratage ont ciblé des appareils Synology. Leur système d'exploitation est un dérivé d'une distribution Linux.
Le point d'intrusion est un contournement de la procédure d'authentification utilisée par le système d'exploitation, la faute a été détectée par les criminels et leur a permis d'installer un module de porte dérobée appelé SLAPSTICK dans les systèmes. Il est automatiquement activé après le début de l'infection, et il exécutera ses propres actions. Les ordinateurs ciblés étaient ceux qui sont exposés à Internet plus large.
Cependant, au lieu de continuer l'intrusion comme la plupart des autres menaces de cette catégorie, les hackers ont demandé au malware de continuer d'une manière différente et bien plus dommageable.
Les pirates informatiques UNC1945 utilisent une technique d'infection compliquée contre les hôtes Solaris
Au lieu de continuer avec les infections en tirant parti de la porte dérobée SLAPSTICK pour créer une connexion persistante au serveur contrôlé par les pirates, les hackers ont choisi une autre voie. Les groupes de piratage semblent cibler des cibles de premier plan, car ils ont créé un très complexe procédure de contournement de sécurité conçu pour surmonter les mesures de protection prises par le système et les programmes installés par l'utilisateur: analyses anti-malware, pare-feu, et systèmes de détection d'intrusion. Pour éviter la détection, la séquence malveillante téléchargera et installera un hôte de machine virtuelle QEMU. À l'intérieur, une image créée par un pirate informatique d'une distribution Linux sera exécutée.
Cette machine virtuelle sera accessible aux criminels et puisqu'elle est préconfigurée par eux, cela leur permettra d'exécuter tout ce qui est contenu dans les utilitaires. L'analyse a découvert qu'ils étaient pleins de scanners de réseau, programmes de craquage de mots de passe, et autres exploits. La machine virtuelle sera exposée au système hôte et permettra aux pirates d'exécuter des commandes contre elle, ainsi que d'autres ordinateurs disponibles sur le réseau interne. Le facteur dangereux est que les attaques peuvent être contre toutes sortes de systèmes d'exploitation, y compris Microsoft Windows et d'autres systèmes basés sur UNIX.
Les conséquences possibles de l'intrusion incluent les actions malveillantes suivantes:
- Suppression des journaux — Un programme malveillant spécial est utilisé pour supprimer les journaux des actions virales.
- Force Brute Latérale — À partir de la machine virtuelle installée, les pirates peuvent continuer “fissuration” les autres ordinateurs du réseau interne utilisant les outils déployés.
- Accéder aux fichiers — Toutes les données accessibles par le malware peuvent être volées par les pirates.
- Contrôle — Les pirates peuvent prendre le contrôle des hôtes et espionner directement les utilisateurs.
En ce moment, on pense que les pirates UNC1945 ont acheté l'exploit à un vendeur du marché clandestin.. L'outil utilisé par les hackers (EVILSUN) est probablement acquis de ces endroits, il a permis aux criminels d'exécuter l'exploit et de planter la porte dérobée.
Bien sûr, suivre l'actualité de cette activité de malware, Oracle a corrigé le problème en octobre 2020 bulletin de mises à jour de sécurité. Pour le moment, il n'y a pas d'informations sur le nombre d'hôtes infectés. Tous les administrateurs Solaris sont invités à appliquer les dernières mises à jour pour empêcher les pirates de tenter les exploits sur leurs systèmes.