Bejutás és állandó hozzáférés
Júniusban az elkövetők helyi rendszergazdai adatokkal hoztak létre SSL-VPN kapcsolatot, de nem derült ki, hogyan jutottak hozzá ezekhez a hitelesítő információkhoz. A vizsgálatok szerint valószínűleg már korábban megszerezték a jelszavakat és OTP-magokat. Az is elképzelhető, hogy egy ismeretlen, nulladik napi sebezhetőséget (zero-day) használtak ki, bár ezt csak közepes bizonyossággal lehet állítani. A rosszindulatú program bejutása után visszaforduló parancshéjat nyit a fertőzött rendszeren – annak ellenére, hogy ezt a készülék firmware-ének meg kellene akadályoznia.
A támadók manuálisan törölték a naplóállományokat, majd újraindították a készüléket. Az állandó jelenlét érdekében az OVERSTEP-et egy eredeti rendszerfájlhoz illesztették, így minden újraindításkor automatikusan elindul, és a támadók folyamatosan adminisztrátori jogosultságot élveznek.
Mit tud az OVERSTEP?
Az OVERSTEP nemcsak a rendszer feltörését teszi lehetővé, hanem további jelszavak, tanúsítványok, OTP-k és más érzékeny adatok ellopását is a fertőzött VPN-en keresztül. Különösen veszélyes, mert szelektíven képes törölni a http-naplókat, így a támadók múltbéli tevékenysége nyom nélkül maradhat. A Google Threat Intelligence Group szakértői azt is észlelték, hogy a fertőzött eszközök kimenő forgalomban kommunikáltak, de további jelentős támadási jelet nem találtak – a támadók fő célja az adatokhoz való folyamatos hozzáférés fenntartása.
Lopás, zsarolás, zsarolóvírus veszélye
Az UNC6148 legalább 2024 októbere óta aktív, fő céljuk feltehetően az adatlopás, zsarolás és titkosításos zsarolóvírus-támadások – például a Mélység (Abyss) nevű ransomware (Abyss) – terjesztése. 2025 májusában egy célba vett szervezet adatai a World Leaks nevű szivárogtató oldalon jelentek meg, összefüggésbe hozhatóan az UNC6148-hoz kapcsolódó korábbi támadásokkal.
Bár közvetlenül nem észlelték, hogy a lopott adatokat ténylegesen felhasználták volna, a Google szerint a veszély abban rejlik, hogy a támadók tartósan hozzáférnek a rendszerekhez, ezért minden érintett szervezetnek haladéktalanul meg kell tisztítania fertőzött eszközeit.
SonicWall válasza és védekezési tanácsok
A SonicWall közleményben reagált: tisztában vannak a célzott támadásokkal, és együtt dolgoznak a Google csapatával. Az SMA 100-as sorozat már nem elérhető, a gyártó arra biztatja ügyfeleit, hogy mielőbb váltsanak újabb megoldásokra, mégpedig a SonicWall Zero Trust megoldásokra, amelyekhez hamarosan részletes migrációs útmutatót adnak ki. Hangsúlyozzák, hogy prioritásuk az ügyfelek biztonságának megőrzése az átállás során is.
A cégeknek azt tanácsolják, hogy vizsgálják át eszközeiket a fertőzés jelei után, illetve kövessék a technikai leírásban részletezett védelmi lépéseket annak érdekében, hogy felfedezzék és eltávolítsák az OVERSTEP-et.
