Nobelium, групата зад атаката на SolarWinds, все още разполага с голям арсенал от усъвършенствани хакерски възможности. Това е заключението на специалистите по сигурността на Mandiant в скорошно проучване. Опасността от тези - вероятно подкрепяни от държавата - хакери все още не е отминала.
Преди година хакерите на Нобелиум успяха да проникнат в американския специалист по сигурността SolarWinds. Впоследствие много клиенти на този специалист по сигурността бяха хакнати, около 18,000 XNUMX, включително Microsoft, а също и правителството на САЩ. Това с всичките си последствия.
По-нататъшно разследване на фона на хакерите разкри, че хакерите на Нобелиум са заподозрени, че са получавали помощ от страна. Това вероятно е Русия.
Nobelium е най-известен със своите усъвършенствани тактики, техники и процедури, известни също като TTP. Вместо да атакуват жертвите си една по една, те предпочитат да изберат една компания, която обслужва множество клиенти. Чрез хакване на последната компания, хакерите търсят един вид „главен ключ“, който след това просто „отваря“ вратите за клиентите.
Изследователски мандиант
Изследването на Mandiant показва, че Nobelium и двете хакерски групи UNC3004 и UNC2652, които са част от този хакерски конгломерат, са усъвършенствали допълнително своите TTP дейности. Особено за атаки на cloud доставчици и MSP, за да достигнат до още повече бизнеси.
Нови техники на хакерите са използването на идентификационни данни, получени чрез злонамерен софтуер за кражба на информация на други хакери. С това хакерите на Нобелиум потърсиха първия достъп до жертвите. Хакерите също са използвали акаунти с привилегии за представяне под чужда самоличност, за да „събират“ чувствителни имейл данни. Хакерите също така използваха както IP прокси услуги за потребителите, така и нова местна инфраструктура, за да комуникират със засегнатите жертви.
Други техники
Те също така използваха нови TTP възможности за заобикаляне на ограниченията за сигурност в различни среди, включително виртуални машини, за определяне на вътрешни конфигурации за маршрутизиране. Друг използван инструмент беше новата програма за изтегляне на CEELOADER. Хакерите дори успяха да проникнат в активните директории на акаунти в Microsoft Azure и да откраднат „главни ключове“, които дават достъп до директории на клиенти на засегната страна. И накрая, хакерите успяха да злоупотребят с многофакторната автентификация, използвайки push известия на смартфони.
Изследователите от Mandiant забелязаха, че хакерите се интересуват главно от данни, които са важни за Русия. Освен това в някои случаи бяха откраднати данни, че хакерите трябваше да дадат нови входове, за да атакуват други жертви.
Нобелиум постоянен проблем
Докладът заключава, че атаките на Nobelium няма да спрат скоро. Според изследователите, хакерите продължават да подобряват техниките и уменията си за атака, за да останат по-дълго в мрежите на жертвите, да избягват разкриването и да осуетят операциите по възстановяване.