SolarWinds hücumunun arxasında duran Nobelium, hələ də ixtiyarında olan qabaqcıl hakerlik imkanlarının böyük bir arsenalına malikdir. Mandiantın təhlükəsizlik üzrə mütəxəssisləri bu yaxınlarda apardıqları araşdırmada belə qənaətə gəliblər. Bu, yəqin ki, dövlət tərəfindən dəstəklənən hakerlərin təhlükəsi hələ də keçməyib.
Bir il əvvəl Nobelium hakerləri amerikalı təhlükəsizlik mütəxəssisi SolarWinds-ə müdaxilə edə bilmişdilər. Sonradan bu təhlükəsizlik mütəxəssisinin bir çox müştərisi, o cümlədən Microsoft və ABŞ hökuməti də daxil olmaqla, təxminən 18,000 müştərisi sındırıldı. Bu, bütün nəticələri ilə.
Hakerlərin keçmişi ilə bağlı əlavə araşdırmalar zamanı məlum olub ki, Nobelium hakerləri hansısa ölkədən yardım almaqda şübhəli bilinirlər. Bu, yəqin ki, Rusiyadır.
Nobelium ən yaxşı TTP kimi tanınan qabaqcıl taktikaları, texnikaları və prosedurları ilə tanınır. Qurbanlarına bir-bir hücum etmək əvəzinə, birdən çox müştəriyə xidmət göstərən bir şirkət seçməyə üstünlük verirlər. Sonuncu şirkətə sındırma yolu ilə hakerlər müştərilərin üzünə qapıları sadəcə olaraq “açan” bir növ “master açar” axtarırlar.
Araşdırma Mandiant
Mandiantın araşdırması göstərir ki, Nobelium və bu haker konqlomeratının bir hissəsi olan UNC3004 və UNC2652 iki haker qrupu TTP fəaliyyətlərini daha da təkmilləşdiriblər. Xüsusilə hücumlar üçün cloud daha çox biznesə çatmaq üçün satıcılar və MSP-lər.
Hakerlərin yeni üsulları digər hakerlərin məlumat-oğurluq zərərli proqram kampaniyaları vasitəsilə əldə edilən etimadnamələrin istifadəsidir. Bununla da Nobelium hakerləri qurbanlara ilk çıxış yolu axtarırdılar. Hakerlər həmçinin həssas e-poçt məlumatlarını "məhsul etmək" üçün Tətbiq Təqdimatı imtiyazları olan hesablardan istifadə etdilər. Hakerlər həm istehlakçılar üçün IP proxy xidmətlərindən, həm də təsirə məruz qalan qurbanlarla əlaqə saxlamaq üçün yeni yerli infrastrukturdan istifadə ediblər.
Digər texnikalar
Onlar həmçinin daxili marşrutlaşdırma konfiqurasiyalarını müəyyən etmək üçün müxtəlif mühitlərdə, o cümlədən virtual maşınlarda təhlükəsizlik məhdudiyyətlərindən yan keçmək üçün yeni TTP imkanlarından istifadə etdilər. İstifadə olunan digər alət yeni CEELOADER yükləyicisi idi. Hakerlər hətta Microsoft Azure hesablarının aktiv kataloqlarına daxil ola bilmiş və təsirə məruz qalan tərəfin müştərilərinin kataloqlarına giriş imkanı verən “master açarları” oğurlamışdılar. Nəhayət, hakerlər smartfonlarda push bildirişlərindən istifadə edərək çoxfaktorlu autentifikasiyadan sui-istifadə etməyi bacarıblar.
Mandiant tədqiqatçıları hakerləri əsasən Rusiya üçün vacib olan məlumatlarla maraqlandırdığını qeyd ediblər. Bundan əlavə, bəzi hallarda hakerlərin digər qurbanlara hücum etmək üçün yeni girişlər verməli olduğu barədə məlumatlar oğurlanıb.
Nobelium qalıcı problem
Hesabatda Nobeliumun hücumlarının tezliklə dayanmayacağı qənaətinə gəlinir. Tədqiqatçıların fikrincə, hakerlər qurbanların şəbəkələrində daha uzun müddət qalmaq, aşkarlanmamaq və bərpa əməliyyatlarına mane olmaq üçün hücum texnikalarını və bacarıqlarını təkmilləşdirməyə davam edirlər.