SonicWall potwierdza: za wrześniowym włamaniem do chmury stoją „aktorzy sponsorowani przez państwo” — co to oznacza dla firm - Security Bez Tabu

SonicWall potwierdza: za wrześniowym włamaniem do chmury stoją „aktorzy sponsorowani przez państwo” — co to oznacza dla firm

Wprowadzenie do problemu / definicja luki

SonicWall potwierdził, że wrześniowy incydent dotyczył nieautoryzowanego pobrania kopii zapasowych konfiguracji firewalli z określonego środowiska chmurowego, wykorzystując wywołanie API, a sprawcami byli aktorzy sponsorowani przez państwo. Firma podkreśla, że zdarzenie nie ma związku z globalnymi kampaniami ransomware (m.in. Akira) wymierzonymi w urządzenia brzegowe. Ustalenia pochodzą z zakończonego dochodzenia prowadzonego z udziałem Mandiant.

W skrócie

  • Zakres: dostęp do plików kopii konfiguracji (EXP) firewalli przechowywanych w chmurze MySonicWall; produktowe firmware i inne systemy SonicWall nie zostały naruszone.
  • Atrybucja: potwierdzono udział aktorów państwowych; wektor to zaufane wywołanie API w konkretnym środowisku chmurowym.
  • Kogo dotyczy: SonicWall w finalnym komunikacie wskazał, że wszyscy klienci korzystający z funkcji cloud backup powinni traktować się jako potencjalnie dotknięci incydentem (uprzednio mówiono o <5%).
  • Ryzyko: choć hasła/sekrety w plikach są indywidualnie szyfrowane (AES-256 dla Gen7, 3DES dla Gen6), same konfiguracje ujawniają topologię, reguły i punkty dostępu — co ułatwia ataki ukierunkowane.
  • Działania naprawcze: SonicWall udostępnił Online Analysis Tool i Credentials Reset Tool oraz szczegółowy playbook remediacji; CISA wydała alert z zaleceniami dla operatorów.

Kontekst / historia / powiązania

  • 17 września 2025 r. SonicWall poinformował o podejrzanej aktywności wokół kopii zapasowych w chmurze MySonicWall. 22 września CISA opublikowała alert z rekomendacjami. W kolejnych tygodniach komunikaty ewoluowały: od „<5%” do „wszyscy użytkownicy cloud backup”. 4 listopada SonicWall zakończył dochodzenie, przypisując atak aktorowi sponsorowanemu przez państwo. 6 listopada temat opisały media branżowe.

Analiza techniczna / szczegóły luki

Co zawiera plik .EXP?

  • Pełny zrzut konfiguracji urządzenia (reguły, interfejsy, polityki, konta usługowe, profile VPN/LDAP/RADIUS/SNMP, itp.).
  • Sekrety (hasła/klucze) w tej konfiguracji są dodatkowo szyfrowane per-pole (AES-256 dla Gen7; 3DES dla Gen6).
  • W workflou chmurowym: plik jest przesyłany po HTTPS do Cloud Backup API, następnie dodatkowo szyfrowany i kompresowany przed składowaniem; przy pobieraniu API usuwa szyfrowanie „całościowe”, pozostawiając oryginalny plik (z zaszyfrowanymi sekretami).

Dlaczego to wciąż groźne, mimo szyfrowania sekretów?

  • Konfiguracja zdradza strukturę sieci i usług, listę adresów/IP/FQDN, schemat NAT/reguł i włączone interfejsy zewnętrzne — to „mapa drogowa” dla atakującego.
  • Jeśli w konfiguracji znajdowały się sekrety starszego typu (Gen6/3DES), zbyt krótkie hasła, współdzielone poświadczenia, dane TOTP/OTP seed lub hashe, ryzyko ich odtworzenia/obejścia wzrasta.
  • Zidentyfikowane przez SonicWall „Active – High Priority” urządzenia (z usługami wystawionymi do Internetu) powinny być traktowane jako pilne.

Praktyczne konsekwencje / ryzyko

  • Ukierunkowane logowania do SSL VPN/administracji z użyciem prawidłowych danych (po rotacji haseł również do kont serwisowych), próby rekonfiguracji lub ominięcia reguł.
  • Pivoting do segmentów LAN na bazie znajomości tras/statycznych tuneli VPN.
  • Ataki na łańcuch tożsamości (RADIUS/LDAP/AD) i urządzenia towarzyszące (np. SIEM, NMS), których dane konfiguracyjne mogły znaleźć się w kopii.
  • Wiarygodny spear-phishing/SMB hijack dzięki wiedzy o nazwach hostów, regułach i podsieciach.
    Te scenariusze są spójne z ostrzeżeniami amerykańskich instytucji (CISA) dotyczącymi skutków ekspozycji plików preferencji firewalli.

Rekomendacje operacyjne / co zrobić teraz

  1. Weryfikacja ekspozycji: zaloguj się do MySonicWall → Product Management → Issue List i sprawdź status urządzeń (Active – High Priority / Lower Priority / Inactive).
  2. Użyj narzędzi SonicWall:
    • Online Analysis Tool – wskaże usługi wymagające remediacji,
    • Credentials Reset Tool – zautomatyzuje rotację lokalnych haseł i TOTP.
  3. Rotacja sekretów (pełna, nie wybiórcza):
    • konta administratorów firewalli,
    • konta i klucze RADIUS/LDAP/SNMP, profile VPN (site-to-site/remote), konta API,
    • wszelkie shared secrets, a także certyfikaty jeśli były powiązane z hasłem w konfiguracji.
  4. Higiena dostępu zdalnego: wymuś MFA (z nowymi seedami), blokuj po IP/geo, ogranicz portale admin do bastionów/VPN, włącz alerty na nietypowe logowania; skorzystaj z zaleceń CISA.
  5. Hardening i monitoring:
    • porównaj konfiguracje przed/po, szukaj nieautoryzowanych zmian,
    • koreluj logi z EDR/SIEM, poluj na artefakty lateral movement,
    • aktualizuj do Gen7 i najnowszego firmware’u, usuń nieużywane konta/usługi.
  6. Komunikacja i dowody: utrwal artefakty IR, przygotuj notyfikacje do partnerów łańcucha dostaw i — gdy wymagane — do regulatorów.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

  • To nie jest „klasyczny” ransomware na urządzenie brzegowe. SonicWall i media branżowe podkreślają rozdzielenie tego incydentu od kampanii Akira wymierzonych w SSL VPN/edge. Tutaj osią ataku była warstwa chmurowa (cloud backup API), a nie exploit na samym firewallu.
  • Atrybucja ma znaczenie: przypisanie do „state-sponsored” sugeruje długoterminową eksfiltrację wiedzy o środowiskach i potencjalne, ciche nadużycia — w odróżnieniu od hałaśliwych szyfrowań danych typowych dla grup finansowych.

Podsumowanie / kluczowe wnioski

  • Incydent dotknął wszystkich korzystających z cloud backup i został przypisany aktorom państwowym.
  • Choć sekrety w plikach są szyfrowane, ujawniona konfiguracja znacząco ułatwia przygotowanie skutecznych ataków.
  • Nie zwlekaj: przeprowadź pełną rotację sekretów, przejrzyj ekspozycję usług i skorzystaj z narzędzi SonicWall oraz zaleceń CISA.

Źródła / bibliografia

  1. SonicWall Blog — Cloud Backup Security Incident Investigation Complete and Strengthened Cyber Resilience (4 listopada 2025 r.). (SonicWall)
  2. SonicWall Support Notice — MySonicWall Cloud Backup File Incident (aktualizacja 28 października 2025 r.). (SonicWall)
  3. CISA Alert — SonicWall Releases Advisory for Customers after Security Incident (22 września 2025 r.). (CISA)
  4. BleepingComputer — SonicWall says state-sponsored hackers behind September security breach (5 listopada 2025 r.). (BleepingComputer)
  5. The Hacker News — SonicWall Confirms State-Sponsored Hackers Behind September Cloud Backup Breach (6 listopada 2025 r.). (The Hacker News)