Nobelium, група, якая стаіць за атакай SolarWinds, па-ранейшаму мае ў сваім распараджэнні вялікі арсенал перадавых хакерскіх магчымасцяў. Да такой высновы прыйшлі спецыялісты па бяспецы Mandiant у нядаўнім даследаванні. Небяспека гэтых хакераў, імаверна, падтрымліваецца дзяржавай, яшчэ не мінула.
Год таму хакерам Nobelium удалося ўзламаць амерыканскага спецыяліста па бяспецы SolarWinds. У далейшым многія кліенты гэтага спецыяліста па бяспецы былі ўзламаныя, каля 18,000 XNUMX, уключаючы Microsoft, а таксама ўрад ЗША. Гэта з усімі наступствамі.
Далейшае расследаванне хакераў паказала, што хакераў Nobelium падазраюць у атрыманні дапамогі ад краіны. Гэта, напэўна, Расея.
Nobelium найбольш вядомы сваёй перадавой тактыкай, метадамі і працэдурамі, таксама вядомымі як TTP. Замест таго, каб атакаваць сваіх ахвяр адну за адной, яны аддаюць перавагу выбраць адну кампанію, якая абслугоўвае некалькі кліентаў. З дапамогай ўзлому апошняй кампаніі хакеры шукаюць свайго роду «галоўны ключ», які потым проста «адкрывае» дзверы для кліентаў.
Даследаванне Mandiant
Даследаванне Mandiant паказвае, што Nobelium і дзве хакерскія групы UNC3004 і UNC2652, якія ўваходзяць у гэты хакерскі кангламерат, яшчэ больш удасканалілі сваю дзейнасць TTP. Асабліва для нападаў на cloud пастаўшчыкоў і MSP, каб ахапіць яшчэ больш прадпрыемстваў.
Новыя прыёмы хакераў - гэта выкарыстанне ўліковых дадзеных, атрыманых у рамках кампаній па крадзяжу інфармацыі іншых хакераў. Такім чынам хакеры Nobelium шукалі першы доступ да ахвяр. Хакеры таксама выкарыстоўвалі ўліковыя запісы з прывілеямі Application Impersonation, каб «збіраць» канфідэнцыйныя дадзеныя электроннай пошты. Хакеры таксама выкарыстоўвалі як паслугі IP-проксі для спажыўцоў, так і новую мясцовую інфраструктуру для зносін з пацярпелымі.
Іншыя метады
Яны таксама выкарыстоўвалі новыя магчымасці TTP для абыходу абмежаванняў бяспекі ў розных асяроддзях, уключаючы віртуальныя машыны, каб вызначыць канфігурацыю ўнутранай маршрутызацыі. Іншым інструментам, які выкарыстоўваўся, быў новы загрузнік CEELOADER. Хакерам нават удалося пракрасціся ў актыўныя каталогі акаўнтаў Microsoft Azure і скрасці «галоўныя ключы», якія даюць доступ да каталогаў кліентаў пацярпелага боку. Нарэшце, хакерам удалося злоўжываць шматфакторнай аўтэнтыфікацыяй з дапамогай push-апавяшчэнняў на смартфонах.
Даследчыкі Mandiant заўважылі, што хакераў цікавілі ў асноўным важныя для Расеі дадзеныя. Акрамя таго, у некаторых выпадках былі выкрадзеныя дадзеныя аб тым, што хакеры павінны былі даць новыя ўваходы для атакі іншых ахвяр.
Пастаянная праблема Nobelium
У дакладзе робіцца выснова, што атакі Nobelium не спыняцца ў бліжэйшы час. Па словах даследчыкаў, хакеры працягваюць удасканальваць свае метады атакі і навыкі, каб даўжэй заставацца ў сетках ахвяр, пазбягаць выяўлення і сарваць аперацыі па аднаўленні.