Google-მა SonicWall-ის ქსელურ მოწყობილობებზე დაყენებული სპეციალური ბექდორი, Overstep, აღმოაჩინა

Overstep-ის ბექდორი საკვანძო ლოგ-ჩანაწერებს ანადგურებს, რაც მის აღმოჩენას ართულებს. 

Google-ის საფრთხეების სადაზვერვო ჯგუფის (GTIG) განცხადებით, ჰაკერები თავს ესხმიან SonicWall Secure Mobile Access (SMA) მოწყობილობებს, რომლებიც კორპორატიული ქსელების პერიმეტრზეა განთავსებული და მობილური მოწყობილობებიდან წვდომას მართავს და იცავს. 

სამიზნე მოწყობილობები არის „end of life“ სტატუსის მქონე, რაც ნიშნავს, რომ ისინი რეგულარულ განახლებებს სტაბილურობისა და უსაფრთხოებისთვის აღარ იღებენ. ამის მიუხედავად, ბევრი ორგანიზაცია კვლავ აგრძელებს მათ გამოყენებას. ამან ისინი მთავარ სამიზნედ აქცია UNC6148-სთვის, სახელი, რომელიც Google-მა უცნობ ჰაკერულ ჯგუფს მიანიჭა. 

„GTIG რეკომენდაციას უწევს ყველა ორგანიზაციას, რომლებსაც SMA მოწყობილობები აქვთ, ჩაატარონ ანალიზი იმის დასადგენად, ხომ არ მოხდა მათი კომპრომეტირება“, — ნათქვამია გუშინ, ოთხშაბათს, გამოქვეყნებულ ანგარიშში. „ორგანიზაციებს, შესაძლოა, დასჭირდეთ დისკის ასლების (disk images) მოპოვება კრიმინალისტიკური ანალიზისთვის, რათა თავიდან აიცილონ რუტკიტის ანტი-კრიმინალისტიკური შესაძლებლობებით გამოწვეული ჩარევა.“ 

 დაკარგული დეტალები 

ბევრი საკვანძო დეტალი უცნობი რჩება. ერთი ის, რომ შეტევები სამიზნე მოწყობილობებზე გაჟონილ ლოკალური ადმინისტრატორის რწმუნებულებს იყენებს და ჯერჯერობით არავინ იცის, როგორ მოიპოვეს ეს მონაცემები. ასევე უცნობია, რომელ მოწყვლადობებს იყენებს UNC6148 და რას აკეთებენ თავდამსხმელები მოწყობილობაზე კონტროლის დამყარების შემდეგ. 

დეტალების ნაკლებობა დიდწილად Overstep-ის, სპეციალურად შექმნილი ბექდორ მავნე პროგრამის, ფუნქციონირების შედეგია, რომელსაც UNC6148 მოწყობილობების თავდაპირველი კომპრომეტირების შემდეგ აყენებს. Overstep თავდამსხმელებს საშუალებას აძლევს, შერჩევითად წაშალონ ლოგ-ჩანაწერები, ტექნიკა, რომელიც კრიმინალისტიკურ გამოძიებას აფერხებს. ანგარიში ასევე ვარაუდობს, რომ თავდამსხმელები, შესაძლოა, ნულოვანი დღის ექსპლოიტით იყვნენ შეიარაღებული.

შესაძლო მოწყვლადობები, რომლებსაც UNC6148 შეიძლება იყენებდეს, მოიცავს: 

GTIG-ის მკვლევრები წერენ: 

„არსებობს რამდენიმე განსხვავებული გზა, რომელსაც UNC6148 შეიძლებოდა მიჰყოლოდა ზემოხსენებული მოწყვლადობებით, ან შესაძლოა, სხვა, აქ არ ნახსენები მოწყვლადობით... ასევე შესაძლებელია, რომ რწმუნებულები მოპოვებული ყოფილიყო ინფოსტილერების ლოგებიდან ან რწმუნებულების მარკეტფლეისებიდან, მაგრამ GTIG-მ ვერ შეძლო რაიმე პირდაპირი რწმუნებულების გაჟონვის იდენტიფიცირება.“ ასევე უცნობია, როგორ შეძლო UNC6148-მა უკუ-გარსის (reverse shell) დაყენება, რომელმაც მათ ვებ-ინტერფეისი მისცა ბრძანებების გასაშვებად და Overstep-ის დასაყენებლად. 

''ამ მოწყობილობებზე, დიზაინით, shell-ზე წვდომა შეუძლებელი უნდა იყოს და Mandiant-ის ერთობლივმა გამოძიებამ SonicWall-ის პროდუქტის უსაფრთხოების ინციდენტებზე რეაგირების გუნდთან (PSIRT) ერთად ვერ დაადგინა, როგორ დაამყარა UNC6148-მა ეს უკუ-გარსი“, — წერენ მკვლევრები. საბოლოოდ, ჯგუფის მოტივაციები და ის, თუ რას აკეთებენ ისინი Overstep-ის დაყენების შემდეგ, ჯერჯერობით უცნობია. 

ITNEWS-ის მეგობარი ვებ-გვერდია ITJOBS.GE. ITJOBS.GE-ზე ორგანიზაციებს და ფიზიკურ პირებს, აქვთ უფლება განათავსონ როგორც ვაკანსიები, ტრენინგები და ივენთები ასევე კონკრეტული Tech დავალებები, რისთვისაც ეძებენ დეველოპერებს, დიზაინერებს, სეო სპეციალისტებს და ა.შ. ITJOBS.GE - იპოვე დასაქმების საუკეთესო შესაძლებლობები ან გამოაქვეყნე ვაკანსია / დავალება და მიაწვდინე ხმა სასურველ აუდიტორიას.