В мире информационной безопасности постоянное совершенствование защитных механизмов не всегда гарантирует абсолютную безопасность. Несмотря на своевременное применение обновлений и патчей, злоумышленники продолжают разрабатывать новые сложные методики взлома, способные обходить даже самые современные системы защиты. Одним из свежих и тревожных примеров являются инциденты с эксплуатацией уязвимостей VPN-устройств SonicWall Secure Mobile Access (SMA) серии 100, которые были полностью патчены, но все же оказались уязвимыми для атак хакеров. В середине 2025 года исследовательская группа Google Threat Intelligence Group (GTIG) обнародовала данные о глобальной кампании, проводимой группой UNC6148, нацеленную на эти устройства. Основная цель злоумышленников – установка скрытого бэкдора и руткита под названием OVERSTEP, позволяющего сохранять длительный и незаметный контроль над взломанными системами.
Причины атак и особенности уязвимостей Ключевой фактор успешности кампании состоял в использовании ранее украденных учетных данных административного доступа. Несмотря на то, что устройства SonicWall регулярно получают обновления, злоумышленникам удалось получить доступ к средствам аутентификации, а также использовать одну из известных или даже потенциально неизвестных ранее уязвимостей, включая уязвимости с номерами CVE-2021-20038, CVE-2024-38475, CVE-2021-20035, CVE-2021-20039 и CVE-2025-32819. Более того, аналитики высказали предположение о применении неизвестного нулевого дня (zero-day) для удаленного выполнения кода, что позволяет обеспечить запуск вредоносного ПО на узлах с активным SSL-VPN без обычных ограничений. Механизм атаки начинается с установления злоумышленниками SSL-VPN сессии, благодаря которой они получают возможность работать напрямую на уровне администратора. Исследование, проведенное подразделением Mandiant (часть Google), показало, что в одном из инцидентов злоумышленники уже обладали локальными административными учетными данными, однако первичный метод их получения остается неизвестным, поскольку вредоносное ПО целенаправленно удаляет сведения из системных журналов, резко снижая видимость и усложняя расследование.
После входа в систему злоумышленники формируют обратное подключение (reverse shell), что само по себе является серьезным нарушением штатной работы устройства и свидетельствует о глубинном обходе защитных механизмов. При помощи открытой таким образом «двери» они проводят первичное исследование и настраивают правила контроля сетевого доступа, позволяя IP-адресам преступников беспрепятственно взаимодействовать с системами. OVERSTEP – угроза внутри системы Установка бэкдора rootkit OVERSTEP ознаменует самую опасную фазу атаки. Этот руткит написан на языке C и модифицирует процесс загрузки VPN-устройства, что обеспечивает его скрытное присутствие и автоматическую активацию при перезагрузке. Такой подход гарантирует, что вредоносный код сохранит свои полномочия даже после аппаратных рестартов и попыток устранить заражение через перезапуск системы.
Помимо собственной маскировки, OVERSTEP предоставляет хакерам полный административный контроль. Он способен похищать пароли, сертификаты безопасности и одноразовые пароли (OTP), что открывает им доступ к дополнительным ресурсам компании, расширяя возможности для дальнейших атак или утечки данных. Важным элементом работы руткита является автоматическое удаление следов активности из ключевых логов, таких как httpd.log, http_request.log и inotify.
log, что затрудняет обнаружение и отслеживание действий злоумышленников. Последствия для бизнеса и безопасности Эксперты оценивают, что основная мотивация группировки UNC6148 заключается в кражах данных и вымогательстве. Наблюдения показывают, что украденная информация может использоваться для шантажа организаций или продажи на черном рынке. В одном из известных случаев данные жертвы были размещены на общедоступном сайте World Leaks через месяц после компрометации. Кроме того, существует высокая вероятность связей между UNC6148 и другими киберпреступными группировками, использующими вредоносное ПО для шифрования информации и вымогательства выкупа (например, Abyss и VSOCIETY), что ставит под угрозу конфиденциальность и непрерывность бизнес-процессов компаний, использующих пострадавшие устройства SonicWall.
Рекомендации по защите и реагированию Несмотря на то что SonicWall официально прекратил поддержку серии SMA 100, пользователям важно уделить внимание своевременному обновлению систем и, по возможности, миграции на современные решения, поддерживающие принцип Zero Trust. SonyWall уже объявил о выпуске подробных инструкций по переходу на более надежные платформы, что должно минимизировать риски в будущем. Компаниям, которые продолжают эксплуатировать уязвимые или устаревшие устройства, следует проводить регулярный аудит безопасности, внимательно анализировать сетевые журналы и пытаться выявлять признаки необычной активности. Отслеживание аномалий трафика и использование современных средств обнаружения вторжений помогут сократить время реагирования и минимизировать ущерб. Особое внимание стоит уделить контролю и защите учетных записей администратора VPN, а также применению многофакторной аутентификации с надежным хранением секретов.
