В современном мире киберугрозы становятся всё более изощрёнными и целенаправленными, особенно когда речь идёт о защите критически важных сетевых устройств. Одной из свежих и опасных угроз последнего времени является деятельность хакерской группы под обозначением UNC6148, которая нацелилась на уязвимости в устройствах SonicWall Secure Mobile Access (SMA) 100 серии. Несмотря на наличие последних патчей и обновлений, эти устройства стали мишенью внедрения опасного руткита под названием OVERSTEP, способного обойти защиту и обеспечить злоумышленникам долгосрочный доступ и контроль над оборудованием. Сигналы о вредоносной активности данной группы поступают с октября 2024 года. По оценке специалистов из Google Threat Intelligence Group (GTIG), UNC6148 использует украденные учётные данные и одноразовые пароли (OTP), похищенные ещё в ходе предыдущих киберопераций, что даёт злоумышленникам возможность повторно получить доступ к системам даже после того, как организации провели все необходимые обновления безопасности.
Эта стратегия значительно усложняет задачу обнаружения и предотвращения атак, потому как атака осуществляется с использованием легитимных учётных данных. Исследования трафика и метаданных указывают на то, что компрометация учётных данных могла происходить уже с января 2025 года. Хотя точные методы начального проникновения остаются неизвестными, эксперты предполагают, что злоумышленники могли использовать уязвимости, выявленные под идентификаторами CVE-2021-20035, CVE-2021-20038, CVE-2021-20039, а также более свежие CVE-2024-38475 и CVE-2025-32819. Альтернативный вариант – доступ к административным логинам мог быть получен через кражу данных из логов или приобретение информации на специализированных рынках, однако на данный момент доказательств этого отсутствует. После проникновения в систему злоумышленники устанавливают SSL-VPN сессию и создают обратную оболочку (reverse shell), что по задумке разработчиков устройств должно быть невозможным.
Эта особенность указывает на использование неизвестных уязвимостей нулевого дня, позволяющих получать расширенный доступ к системе. Посредством обратной оболочки хакеры выполняют разведку, манипулируют файлами и экспортируют настройки SMA-устройства. Интересен факт, что злоумышленники модифицируют экспортированные настройки, чтобы внедрить собственные правила и гарантировать беспрепятственную работу своих инструментов, минуя механизмы защиты и фильтры доступа. Такой подход усложняет задачу обнаружения несанкционированных изменений и повышает устойчивость к попыткам удаления доступа. Кульминацией атак является установка руткита OVERSTEP, нового и ранее не документированного вредоносного программного обеспечения.
Этот руткит способен влиять на процесс загрузки устройства, обеспечивая сохранение доступа даже после перезагрузок и обновлений. Кроме того, OVERSTEP способен тайно похищать учетные данные и скрывать следы присутствия, используя методы обхода стандартных средств обнаружения. Основу руткита составляет пользовательский уровень, где вредонос вмешивается в работу стандартных функций операционной системы, таких как open и readdir. Благодаря этому он успешно прячет файлы и процессы, связанные с атакой, от администраторов системы и автоматических инструментов мониторинга. Дополнительно заражённый функционал метода записи write используется для приёма команд от атакующих, которые переходят в виде специальных веб-запросов.
Из команды злоумышленников доступны функции открытия обратной оболочки на указанный IP-адрес и порт, а также архивирования критически важных файлов конфигурации и сертификатов. Получив доступ к веб-интерфейсу, злоумышленники могут затем скачать этот архив, получив полный контроль над данными устройства. Для закрепления вредоносного кода на устройстве был изменён системный скрипт автозагрузки '/etc/rc.d/rc.fwboot', который инициирует запуск OVERSTEP при каждой загрузке устройства.
Данный приём обеспечивает стойкость присутствия злоумышленника несмотря на перезапуск сетевого оборудования. После завершения установки руткита UNC6148 удаляет записи из системных логов – httpd.log, http_request.log и inotify.log – таким образом, скрывая следы своих действий.
Эти меры по антианализу значительно усложняют работу по расследованию инцидентов и распознаванию настоящих целей атакующих. Согласно оценкам специалистов Google, вполне вероятно, что в процессе атаки злоумышленники эксплуатировали неизвестную уязвимость удалённого выполнения кода, что открывало им полный контроль над устройством. Между тем, мотивы группы UNC6148, по всей видимости, включают похищение данных, последующее шантажирование с целью вымогательства, а в отдельных случаях и внедрение программ-вымогателей. Еще одна тревожная деталь – одно из организаций, подвергшихся атакам UNC6148, было выставлено на публику на сайте групы вымогателей World Leaks, связанной с закрытым недавно вымогательским объединением Hunters International. Такая связь указывает на трансформацию методов обучения и тренировки террористов в сфере киберпреступности и увеличивает вероятность последующей эскалации атак.
Инциденты с SonicWall SMA 100 серии не являются единичными. Исследователи отмечали подобные попытки взлома ещё в середине 2023 года, когда на других устройствах SonicWall внедрялся веб-шелл с целями сохранения доступа и обхода обновлений. В дальнейшем данные действия связывали с появлением вредоносного ПО Abyss ransomware, что подтверждает тенденцию перехода от компрометации устройств к более масштабным атакам с последующим вымогательством. Ключевой вывод из ситуации с UNC6148 – необходимость уделять повышенное внимание безопасности периферийных сетевых устройств, которые часто не охвачены комплексными решениями по защите конечных точек (Endpoint Detection and Response, EDR) или антивирусными средствами. Такие устройства могут стать «тихими» точками проникновения в корпоративные сети и оставаться незамеченными в течение длительных периодов.
В связи с этим специалистам по информационной безопасности рекомендуется проводить детальный форензик с развертыванием дисковых образов систем для глубокого анализа и предотвращения воздействия руткита. Зачастую для извлечения таких образов требуется тесное взаимодействие с производителем – в данном случае с SonicWall – чтобы получить доступ к физическим устройствам и минимизировать вмешательство вредоносного кода в процесс анализа. В ответ на выявленную угрозу компания SonicWall активно сотрудничает с аналитиками Google и планирует ускорить процесс завершения поддержки серии SMA 100, которая уже была выведена из продажи. Вместе с тем она пообещала продолжать выпуск обновлений безопасности в течение остатка жизненного цикла устройств, помогая клиентам минимизировать риски. Кроме того, SonicWall настоятельно советует своим пользователям мигрировать на более современные платформы, такие как Cloud Secure Edge и SMA 1000 серии, которые обладают обновлёнными архитектурами и улучшенными возможностями безопасности.
Этот переход соответствует общим тенденциям отрасли, где лидеры рынка, включая Cisco и Palo Alto Networks, направляют клиентов в сторону облачных и гибридных решений ради повышения надёжности и масштабируемости систем. Таким образом, совокупность действий хакерской группы UNC6148 и применение руткита OVERSTEP служат серьёзным предупреждением относительно важности своевременного обновления и внимательного контроля безопасности даже на полностью патченных системах. Акцент должен делаться не только на устранение технических уязвимостей, но и на надёжное управление учётными данными и усиление мониторинга подозрительной активности. Информационная безопасность сегодня – это комплексный подход, где защита граничных устройств играет ключевую роль в общей стратегии противодействия современным угрозам. Противостояние таким продвинутым атакам требует постоянного совершенствования средств выявления, глубокого анализа и быстрой реакции на инциденты, а также интеграции ответственности между производителями устройств и конечными пользователями.
Только так компании смогут снизить риски потери данных, избежать серьёзных репутационных потерь и финансовых убытков, а также повысить устойчивость своих сетевых инфраструктур перед лицом новых и более изощрённых киберугроз.
![The breakthrough proof bringing mathematics closer to a grand unified theory [pdf]](/images/7BD68C55-56F0-4170-A395-04613DA6F5AA)
