لا تزال مجموعة Nobelium ، التي كانت وراء هجوم SolarWinds ، تمتلك ترسانة كبيرة من قدرات القرصنة المتقدمة تحت تصرفها. هذا هو استنتاج متخصصي الأمن في Mandiant في دراسة حديثة. ولم ينته بعد خطر هؤلاء القراصنة - الذين يحتمل أن يكونوا مدعومين من الدولة.
قبل عام ، تمكن قراصنة نوبليوم من اختراق شركة سولارويندز المتخصصة في الأمن الأمريكية. في وقت لاحق ، تم اختراق العديد من عملاء هذا المتخصص الأمني ، حوالي 18,000 ، بما في ذلك Microsoft وكذلك الحكومة الأمريكية. هذا مع كل عواقبه.
وكشف مزيد من التحقيق في خلفية المتسللين أن قراصنة نوبلوم يشتبه في تلقيهم مساعدات من دولة. ربما هذه هي روسيا.
تشتهر Nobelium بتكتيكاتها وتقنياتها وإجراءاتها المتقدمة ، والمعروفة أيضًا باسم TTP. بدلاً من مهاجمة ضحاياهم واحدًا تلو الآخر ، يفضلون اختيار شركة واحدة تخدم عملاء متعددين. من خلال اختراق الشركة الأخيرة ، يبحث المتسللون عن نوع من "المفتاح الرئيسي" الذي "يفتح" الأبواب للعملاء.
البحث Mandiant
يُظهر بحث Mandiant أن Nobelium ومجموعتا القرصنة UNC3004 و UNC2652 اللتان تشكلان جزءًا من مجموعة القرصنة هذه ، قد أتقنت أنشطة TTP الخاصة بهم. خاصة للهجمات على cloud البائعين و MSPs للوصول إلى المزيد من الأعمال.
التقنيات الجديدة للقراصنة هي استخدام بيانات الاعتماد التي تم الحصول عليها من خلال حملات البرمجيات الخبيثة لسرقة المعلومات من قراصنة آخرين. مع هذا ، سعى قراصنة نوبلوم إلى الوصول الأول إلى الضحايا. استخدم المخترقون أيضًا حسابات بامتيازات انتحال صفة التطبيق "لجمع" بيانات البريد الإلكتروني الحساسة. استخدم المتسللون أيضًا خدمات بروكسي IP للمستهلكين والبنية التحتية المحلية الجديدة للتواصل مع الضحايا المتضررين.
تقنيات أخرى
كما استخدموا أيضًا إمكانات TTP الجديدة لتجاوز قيود الأمان في بيئات مختلفة ، بما في ذلك الأجهزة الافتراضية ، لتحديد تكوينات التوجيه الداخلية. أداة أخرى مستخدمة هي أداة تنزيل CEELOADER الجديدة. حتى أن المتسللين تمكنوا من اختراق الدلائل النشطة لحسابات Microsoft Azure وسرقة "المفاتيح الرئيسية" التي تتيح الوصول إلى أدلة عملاء الطرف المتأثر. أخيرًا ، تمكن المتسللون من إساءة استخدام المصادقة متعددة العوامل باستخدام دفع الإخطارات على الهواتف الذكية.
لاحظ باحثو Mandiant أن المتسللين كانوا مهتمين بشكل أساسي بالبيانات التي كانت مهمة لروسيا. بالإضافة إلى ذلك ، في بعض الحالات ، تمت سرقة البيانات التي كان على المتسللين منحها مداخل جديدة لمهاجمة الضحايا الآخرين.
مشكلة نوبليوم المستمرة
ويخلص التقرير إلى أن هجمات نوبلوم لن تتوقف في أي وقت قريب. وفقًا للباحثين ، يواصل المتسللون تحسين تقنيات الهجوم ومهاراتهم للبقاء لفترة أطول ضمن شبكات الضحايا ، وتجنب الكشف وإحباط عمليات الاسترداد.