Nobelium, die groep agter die SolarWinds-aanval, het steeds 'n groot arsenaal van gevorderde inbraakvermoëns tot sy beskikking. Dit is die gevolgtrekking van Mandiant se sekuriteitspesialiste in 'n onlangse studie. Die gevaar van hierdie -waarskynlik staatsgesteunde- kuberkrakers is nog nie verby nie.
’n Jaar gelede het die Nobelium-krakers daarin geslaag om by die Amerikaanse sekuriteitspesialis SolarWinds in te kap. Daarna is baie kliënte van hierdie sekuriteitspesialis gekap, sowat 18,000 XNUMX, insluitend Microsoft en ook die Amerikaanse regering. Dit met al sy gevolge.
Verdere ondersoek na die agtergrond van die kuberkrakers het aan die lig gebring dat die Nobelium-krakers daarvan verdink word dat hulle hulp van ’n land ontvang het. Dit is waarskynlik Rusland.
Nobelium is veral bekend vir sy gevorderde taktiek, tegnieke en prosedures, ook bekend as TTP. In plaas daarvan om hul slagoffers een vir een aan te val, verkies hulle om een maatskappy te kies wat verskeie kliënte bedien. Via 'n hack op laasgenoemde maatskappy soek die kuberkrakers 'n soort 'meestersleutel' wat dan bloot die deure vir die klante 'oopmaak'.
Navorsingsmandiant
Mandiant se navorsing toon dat Nobelium, en die twee kuberkrakergroepe UNC3004 en UNC2652 wat deel is van hierdie inbraak-konglomeraat, hul TTP-aktiwiteite verder vervolmaak het. Veral vir aanvalle op cloud verskaffers en MSP's om nog meer besighede te bereik.
Nuwe tegnieke van die kuberkrakers is die gebruik van geloofsbriewe wat verkry is deur wanware-veldtogte vir inligtingstelers van ander kuberkrakers. Hiermee het die Nobelium-krakers die eerste toegang tot slagoffers gesoek. Die kuberkrakers het ook rekeninge met Toepassingsverpersoonliking-voorregte gebruik om sensitiewe e-posdata te “oes”. Die kuberkrakers het ook beide IP-instaanbedienerdienste vir verbruikers en nuwe plaaslike infrastruktuur gebruik om met geaffekteerde slagoffers te kommunikeer.
Ander tegnieke
Hulle het ook nuwe TTP-vermoëns gebruik om sekuriteitsbeperkings in verskeie omgewings te omseil, insluitend virtuele masjiene, om interne roete-konfigurasies te bepaal. Nog 'n instrument wat gebruik is, was die nuwe CEELOADER-aflaaier. Die kuberkrakers het selfs daarin geslaag om aktiewe gidse van Microsoft Azure-rekeninge binne te dring en 'meestersleutels' te steel wat toegang gee tot gidse van kliënte van 'n geaffekteerde party. Uiteindelik het die kuberkrakers daarin geslaag om multi-faktor-verifikasie te misbruik deur stootkennisgewings op slimfone te gebruik.
Die Mandiant-navorsers het opgemerk dat die kuberkrakers hoofsaaklik geïnteresseerd was in data wat vir Rusland belangrik is. Boonop is in sommige gevalle data gesteel dat die kuberkrakers nuwe ingange moes gee om ander slagoffers aan te val.
Nobelium aanhoudende probleem
Die verslag kom tot die gevolgtrekking dat Nobelium se aanvalle nie binnekort sal stop nie. Volgens die navorsers gaan die kuberkrakers voort om hul aanvalstegnieke en vaardighede te verbeter om langer binne slagoffers se netwerke te bly, opsporing te vermy en hersteloperasies te frustreer.