Badacze bezpieczeństwa ujawnili, że grupa powiązana z Chinami od co najmniej połowy 2024 r. wykorzystywała krytyczną lukę zero-day (CVSS 10.0) w Dell RecoverPoint for Virtual Machines. Podatność oparta na twardo zakodowanych poświadczeniach umożliwiała nieautoryzowany dostęp do systemów i utrwalanie uprawnień na poziomie root, stanowiąc poważne zagrożenie dla środowisk VMware.
Luka zero-day w rozwiązaniach Dell aktywnie wykorzystywana przez zaawansowanych atakujących
Badacze z Mandiant oraz Google Threat Intelligence Group (GTIG) ujawnili, że podejrzewani hakerzy sponsorowani przez państwo chińskie wykorzystywali krytyczną podatność typu zero-day w produktach Dell co najmniej od połowy 2024 roku. Informacje zostały opublikowane 17 lutego 2026 r. i wskazują na długotrwałą, ukierunkowaną kampanię wymierzoną w środowiska wirtualne.
Za działania odpowiada grupa UNC6201, która wykorzystywała podatność oznaczoną jako CVE-2026-22769 (CVSS 10.0). Luka dotyczy rozwiązania Dell RecoverPoint for Virtual Machines, wykorzystywanego do tworzenia kopii zapasowych oraz odzyskiwania maszyn wirtualnych VMware.
Krytyczna podatność: twardo zakodowane poświadczenia
Zgodnie z opublikowanym biuletynem bezpieczeństwa, podatność występowała w wersjach wcześniejszych niż 6.0.3.1 HF1 i była związana z obecnością twardo zakodowanych poświadczeń. Tego typu błąd jest szczególnie niebezpieczny, ponieważ umożliwia nieuwierzytelnionemu atakującemu zdalne wykorzystanie podatności, jeśli posiada wiedzę o wbudowanych danych dostępowych.
W praktyce oznacza to możliwość:
- uzyskania nieautoryzowanego dostępu do bazowego systemu operacyjnego,
- utrwalenia dostępu na poziomie root,
- przejęcia kontroli nad infrastrukturą wirtualną.
Producent podkreśla, że luka ma charakter krytyczny i zaleca klientom jak najszybszą aktualizację systemów lub zastosowanie dostępnych działań naprawczych.
Nowe narzędzia i techniki wykorzystywane w kampanii
W ramach udokumentowanej kampanii grupa UNC6201 wdrażała różne ładunki złośliwego oprogramowania, w tym nowy backdoor o nazwie Grimbolt. Analizy wskazują, że może on stanowić rozwinięcie wcześniej używanego przez tę grupę narzędzia BrickStorm, co sugeruje ewolucję ich zaplecza technicznego i długofalowe przygotowanie operacyjne.
Szczególnie niepokojącym elementem ataków było stosowanie nowych technik umożliwiających głębszą penetrację infrastruktury zwirtualizowanej. Atakujący tworzyli m.in. ukryte interfejsy sieciowe (tzw. Ghost NICs) na serwerach VMware ESXi, co pozwalało im na skryte przemieszczanie się po sieci ofiary i utrzymanie długotrwałej obecności w środowisku.
Według Mandiant była to technika wcześniej niespotykana w prowadzonych przez nich dochodzeniach, co wskazuje na rosnący poziom zaawansowania operacji ukierunkowanych na infrastrukturę wirtualną.
Dlaczego środowiska backupowe są atrakcyjnym celem ataków?
Systemy kopii zapasowych i odzyskiwania danych należą do najbardziej uprzywilejowanych elementów infrastruktury IT, ponieważ mają szeroki dostęp do systemów produkcyjnych, danych oraz środowisk wirtualnych. Ich kompromitacja może umożliwić atakującym jednoczesny dostępu do wielu zasobów organizacji, manipulowania kopiami zapasowymi, a nawet utrudnienia lub całkowitego uniemożliwienia odzyskania danych po incydencie. Dodatkowo w środowiskach VMware przejęcie narzędzi backupowych zwiększa potencjał do przemieszczania się po sieci oraz utrzymania długotrwałej, trudnej do wykrycia obecności w infrastrukturze, co czyni je szczególnie atrakcyjnym i strategicznym celem dla zaawansowanych kampanii APT.
Rekomendacje dla organizacji
W świetle ujawnionych informacji organizacje korzystające z Dell RecoverPoint for Virtual Machines powinny niezwłocznie zweryfikować używaną wersję oprogramowania oraz zastosować aktualizacje bezpieczeństwa. Równie istotne jest przeprowadzenie przeglądu logów, konfiguracji środowiska wirtualnego oraz monitorowanie nietypowej aktywności sieciowej, w szczególności w obrębie hostów ESXi.
Długotrwałe, ukryte kampanie wykorzystujące podatności zero-day pokazują, że nawet infrastruktura backupowa – często traktowana jako warstwa zabezpieczająca – może stać się wektorem zaawansowanego ataku. Dlatego regularne aktualizacje, segmentacja sieci oraz stały monitoring środowisk wirtualnych pozostają kluczowymi elementami skutecznej strategii cyberbezpieczeństwa.
Źródła:
O autorze: Łukasz Lein
Product manager - Opiekun marki Symantec
Od blisko 10 lat w firmie Arkanet. Bacznie śledzi ruchy cyberprzestępczości w Polsce i na świecie, dzięki czemu wie, jak pomóc klientom zabezpieczyć swoją sieć firmową przed wszelkimi atakami. Z zamiłowania, po pracy, aktywny "piłkokopacz".
