SonicWall защищал тысячи компаний. Теперь помогает хакерам их ломать

UNC6148 SonicWall SMA 100 OVERSTEP Google кибератака уязвимость вымогательство
SonicWall защищал тысячи компаний. Теперь помогает хакерам их ломать
UNC6148 SonicWall SMA 100 OVERSTEP Google кибератака уязвимость вымогательство

Архитектура корпоративных брандмауэров оказалась идеальной для незаметного взлома.

image

Атаки на устаревшие устройства SonicWall SMA 100 вновь обнажили уязвимость сетевых рубежей, на которые зачастую не распространяется действие традиционных систем защиты. По данным Google Threat Intelligence Group (GTIG), целенаправленная кампания с применением зловреда OVERSTEP началась как минимум в октябре 2024 года и была организована хакерской группировкой UNC6148. В результате атак злоумышленники получили устойчивый контроль над устройствами, даже несмотря на установленные обновления безопасности.

Суть проблемы кроется в использовании взломанными группами ранее украденных учётных данных и одноразовых паролей. Эти сведения могли быть извлечены из SMA-устройств ещё в январе 2025 года, что позволяет атакующим восстанавливать доступ даже после того, как администраторы устраняют известные уязвимости. При этом первоначальный способ проникновения установить не удалось — все логи были удалены. Предположительно, вектором доступа могли стать уязвимости CVE-2021-20035 , CVE-2021-20038 , CVE-2021-20039 , CVE-2024-38475 или CVE-2025-32819 . Также рассматривалась версия о покупке учётных данных на чёрных рынках, однако прямых подтверждений этому не найдено.

После проникновения в систему злоумышленники запускали SSL-VPN-сессию и создавали обратный шелл. Это действие невозможно выполнить в штатной конфигурации устройства, что наталкивает на вывод о применении неизвестной ранее уязвимости нулевого дня. Через обратный шелл осуществлялось сканирование системы, загрузка и выгрузка настроек устройства. Специалисты считают, что атакующие встраивали свои правила в экспортированные конфигурации, изменяя их в автономном режиме, чтобы не быть заблокированными при последующих обновлениях.

Завершающей фазой атаки становится установка ранее неизвестного импланта OVERSTEP. Этот вредонос способен вмешиваться в процесс загрузки устройства, обеспечивая постоянный доступ, скрытие собственных компонентов и кражу данных. Он реализует руткит в пользовательском режиме, перехватывая стандартные функции библиотек, такие как open и readdir, чтобы скрывать файлы, связанные с вредоносом. Кроме того, OVERSTEP перехватывает функцию write, получая команды с сервера управления, внедрённые в веб-запросы.

Команды включают, например, dobackshell — для запуска обратного шелла, и dopasswords — для создания архива с чувствительными файлами, содержащими информацию о паролях и сертификатах. Архив сохраняется в веб-доступной директории, что упрощает его загрузку злоумышленниками. Для обеспечения постоянного присутствия OVERSTEP модифицирует системный файл rc.fwboot, чтобы запускаться при каждой перезагрузке устройства.

После установки зловреда злоумышленники стирают системные журналы и перезагружают устройство, включая таким образом вредоносное ПО. Удаление следов происходит выборочно — из журналов httpd.log, http_request.log и inotify.log, что затрудняет расследование и оставляет минимум улик. По мнению специалистов, эти действия особенно опасны, поскольку позволяют вести долгосрочную скрытую активность без риска обнаружения.

GTIG выражает умеренную уверенность в том, что при атаках использовалась уязвимость нулевого дня с возможностью удалённого выполнения кода. Атаки рассматриваются как подготовка к масштабным операциям, включая кражу данных, вымогательство и, возможно, развёртывание программ-вымогателей. Косвенно на это указывает публикация информации о жертвах на ресурсе World Leaks, связанном с группой, ранее участвовавшей в операциях под брендом Hunters International.

Также были установлены параллели между действиями UNC6148 и атаками на устройства SonicWall, зафиксированными в июле 2023 года. Тогда, по данным Truesec и исследователя Стефана Бергера, использовался вебшелл и методика сохранения присутствия при обновлении прошивки. Эти действия впоследствии связали с распространением вымогателя Abyss.

Анализ ситуации подчёркивает растущую тенденцию: киберпреступники всё чаще нацеливаются на периферийные сетевые устройства, не охваченные системами типа EDR и антивирусами . Из-за этого проникновение может происходить незаметно и сохраняться длительное время.

Google советует организациям проводить форензику с использованием образов дисков, так как встроенные средства анализа не справляются с замаскированными угрозами . При этом, чтобы получить полный образ, может потребоваться взаимодействие с SonicWall.

Компания SonicWall подтвердила сотрудничество с GTIG и заявила о переносе даты окончания поддержки устройств SMA 100 с октября 2027 года на декабрь 2025 года. Это ускорение связано с текущими угрозами и общей стратегией перехода на более современные решения, такие как SMA 1000 и Cloud Secure Edge. Новые платформы, как утверждается, лучше соответствуют текущим реалиям, в том числе благодаря более высокой безопасности и масштабируемости.