Google-მა SonicWall-ის ქსელურ მოწყობილობებზე დაყენებული უნიკალური ბექდორი აღმოაჩინა

Overstep-ის ბექდორი საკვანძო ლოგ-ჩანაწერებს ანადგურებს, რაც მის აღმოჩენას ართულებს.

Google-ის საფრთხეების სადაზვერვო ჯგუფის (GTIG) მკვლევრების თქმით, ჰაკერები ახდენენ SonicWall Secure Mobile Access (SMA) მოწყობილობების კომპრომეტირებას. ეს მოწყობილობები კორპორატიული ქსელების პერიმეტრზე თავსდება და მობილური მოწყობილობების წვდომას მართავს და იცავს.

სამიზნე მოწყობილობები არის „end of life“, რაც ნიშნავს, რომ ისინი რეგულარულ განახლებებს სტაბილურობისა და უსაფრთხოებისთვის აღარ იღებენ. ამ სტატუსის მიუხედავად, ბევრი ორგანიზაცია კვლავ აგრძელებს მათზე დაყრდნობას. ამან ისინი UNC6148-ის — Google-ის მიერ უცნობი ჰაკერული ჯგუფისთვის მინიჭებული სახელის — მთავარ სამიზნედ აქცია.

„GTIG რეკომენდაციას უწევს ყველა ორგანიზაციას, რომელსაც SMA მოწყობილობები აქვს, ჩაატაროს ანალიზი, რათა დაადგინოს, მოხდა თუ არა მათი კომპრომეტირება,“ — ნათქვამია გასულ ოთხშაბათს გამოქვეყნებულ ანგარიშში. „ორგანიზაციებმა უნდა მოიპოვონ დისკის ასლები კრიმინალისტური ანალიზისთვის, რათა თავიდან აიცილონ რუტკიტის ანტი-კრიმინალისტური შესაძლებლობების მიერ გამოწვეული ჩარევა.“

ბევრი საკვანძო დეტალი უცნობია

ამ დროისთვის ბევრი დეტალი უცნობი რჩება. პირველ რიგში, შეტევები სამიზნე მოწყობილობებზე გაჟონილი ლოკალური ადმინისტრატორის მონაცემების ექსპლუატაციას ახდენს და ჯერჯერობით არავინ იცის, როგორ იქნა მოპოვებული ეს მონაცემები. ასევე უცნობია, რომელ მოწყვლადობებს იყენებს UNC6148 და რას აკეთებენ თავდამსხმელები მოწყობილობაზე კონტროლის მოპოვების შემდეგ.

დეტალების ნაკლებობა, დიდწილად, Overstep-ის — UNC6148-ის მიერ მოწყობილობების პირველადი კომპრომეტირების შემდეგ დაყენებული უნიკალური ბექდორის — ფუნქციონირების შედეგია. Overstep-ი თავდამსხმელებს საშუალებას აძლევს, შერჩევით წაშალონ ლოგ-ჩანაწერები, ტექნიკა, რომელიც კრიმინალისტურ გამოძიებას აფერხებს. ანგარიში ასევე ვარაუდობს, რომ თავდამსხმელები, შესაძლოა, ნულოვანი დღის ექსპლოიტით იყვნენ შეიარაღებულნი.

შესაძლო მოწყვლადობები, რომლებსაც UNC6148 შეიძლება იყენებდეს, მოიცავს:

• CVE-2021-20038: კოდის არაავტორიზებული დისტანციური შესრულება.

• CVE-2024-38475: არაავტორიზებული დირექტორიის გვერდის ავლის მოწყვლადობა Apache HTTP Server-ში.

• CVE-2021-20035: კოდის ავტორიზებული დისტანციური შესრულება.

• CVE-2021-20039: კოდის ავტორიზებული დისტანციური შესრულება.

• CVE-2025-32819: ავტორიზებული ფაილის წაშლის მოწყვლადობა.

ასევე უცნობია, როგორ შეძლო UNC6148-მა დაეყენებინა რევერს-შელი, რომელმაც მათ ბრძანებების გასაშვებად და Overstep-ის დასაყენებლად ვებ-ინტერფეისი მისცა.

„შელზე წვდომა ამ მოწყობილობებზე დიზაინით შეუძლებელი უნდა იყოს... შესაძლებელია, რევერს-შელი UNC6148-ის მიერ უცნობი მოწყვლადობის ექსპლუატაციის გზით დამყარდა,“ — წერენ მკვლევრები.

საბოლოოდ, ჯგუფის მოტივაცია და ის, თუ რას აკეთებენ ისინი Overstep-ის დაყენების შემდეგ, ჯერჯერობით დაუდგენელია.

იმის გამო, რომ კომპრომეტირებულ მოწყობილობებზე საკვანძო ლოგ-ჩანაწერები იშლება, ინფექციების აღმოჩენა რთულია. Google-ის პოსტი შეიცავს ტექნიკურ ინდიკატორებს, რომლებიც SonicWall-ის მომხმარებლებს შეუძლიათ გამოიყენონ იმის დასადგენად, გახდნენ თუ არა ისინი თავდასხმის სამიზნე.

ITNEWS-ის მეგობარი ვებ-გვერდია ITJOBS.GE. ITJOBS.GE-ზე ორგანიზაციებს და ფიზიკურ პირებს, აქვთ საშუალება განათავსონ როგორც ვაკანსები, ტრენინგები და ივენთები ასევე კონკრეტული Tech დავალებები, რისთვისაც ეძებენ დეველოპერებს, დიზაინერებს, სეო სპეციალისტებს და ა.შ. ITJOBS.GE - იპოვე დასაქმების საუკეთესო შესაძლებლობები ან გამოაქვეყნე ვაკანსია / დავალება და მიაწვდინე ხმა სასურველ აუდიტორიას.