Ismeretlen hackercsoport érzékeny adatokat lop el vállalatoktól olyan, már nem támogatott SonicWall biztonsági eszközök feltörésével, amelyeken minden frissítés telepítve van. A támadók korábban ellopott hitelesítő adatokat és egyszer használatos jelszó (OTP) kulcsokat használva újra és újra bejutnak a rendszerekbe – a bejutási módszerüket pedig az alkalmazott kártevő úgy rejti el, hogy törli a naplóbejegyzéseket is, így nagyon nehéz visszafejteni, hogyan jutottak be.
Álcázott támadások és nehezen követhető műveletek
A támadások különlegessége az OVERSTEP nevű hátsó kapu, amely módosítja a SonicWall Secure Mobile Access (SMA) 100 sorozatú készülékek indítási folyamatát. Ennek révén a hackerek tartós hozzáférést szereznek, érzékeny jelszavakat lophatnak, és eltüntethetik saját fertőzéseik nyomait. Az OVERSTEP kifejezetten ezekhez az eszközökhöz készült.
Javasolt védekezés és lehetséges sebezhetőségek
A SonicWall kiemelte: minden felhasználónak ajánlott az OTP kulcsok újbóli beállítása, így a régi vagy ellopott adatokkal már nem lehet jogosulatlanul belépni. A támadók több ismert sebezhetőséget is kihasználhattak (például: CVE-2021-20038, CVE-2024-38475), sőt, akár eddig ismeretlen hibát (zero-day) is felhasználhattak a támadásokhoz. Több szervezet érintett, az esetek száma folyamatosan nő.
