Nobelium, grupa koja stoji iza napada SolarWinds, još uvijek ima na raspolaganju veliki arsenal naprednih hakerskih mogućnosti. Ovo je zaključak Mandiantovih stručnjaka za sigurnost u nedavnoj studiji. Opasnost od ovih hakera, vjerovatno uz podršku države, još nije prošla.
Prije godinu dana, hakeri Nobeliuma uspjeli su hakirati američkog stručnjaka za sigurnost SolarWinds. Nakon toga, mnogi klijenti ovog stručnjaka za sigurnost su hakovani, oko 18,000, uključujući Microsoft i američku vladu. Ovo sa svim posledicama.
Dalja istraga o pozadini hakera otkrila je da se hakeri Nobeliuma sumnjiče da su primali pomoć od neke zemlje. Ovo je vjerovatno Rusija.
Nobelium je najpoznatiji po svojim naprednim taktikama, tehnikama i procedurama, poznatim i kao TTP. Umjesto da napadaju svoje žrtve jednu po jednu, oni radije biraju jednu kompaniju koja opslužuje više kupaca. Putem hakovanja potonje kompanije, hakeri traže neku vrstu 'glavnog ključa' koji onda jednostavno 'otvara' vrata kupcima.
Mandiant istraživanja
Mandiantovo istraživanje pokazuje da su Nobelium i dvije hakerske grupe UNC3004 i UNC2652 koje su dio ovog hakerskog konglomerata, dodatno usavršile svoje TTP aktivnosti. Posebno za napade na cloud dobavljače i MSP-ove kako bi dosegli još više preduzeća.
Nove tehnike hakera su korišćenje akreditiva dobijenih kroz kampanje malvera za krađu informacija drugih hakera. Ovim su hakeri Nobelijuma tražili prvi pristup žrtvama. Hakeri su takođe koristili naloge sa privilegijama za lažno predstavljanje u aplikaciji kako bi "ukupili" osetljive podatke e-pošte. Hakeri su takođe koristili i usluge IP proksija za potrošače i novu lokalnu infrastrukturu za komunikaciju sa pogođenim žrtvama.
Ostale tehnike
Takođe su koristili nove TTP mogućnosti za zaobilaženje sigurnosnih ograničenja u različitim okruženjima, uključujući virtuelne mašine, kako bi odredili interne konfiguracije rutiranja. Drugi korišteni alat je novi CEELOADER downloader. Hakeri su čak uspeli da prodru u aktivne direktorijume Microsoft Azure naloga i ukradu 'master ključeve' koji daju pristup direktorijumima klijenata pogođene strane. Konačno, hakeri su uspjeli da zloupotrebe višefaktorsku autentifikaciju koristeći push notifikacije na pametnim telefonima.
Istraživači Mandiant-a su primijetili da su hakere uglavnom zanimali podaci koji su važni za Rusiju. Osim toga, u nekim slučajevima su ukradeni podaci da su hakeri morali dati nove ulaze kako bi napali druge žrtve.
Nobelijumski uporni problem
U izvještaju se zaključuje da napadi Nobelijuma neće prestati uskoro. Prema istraživačima, hakeri nastavljaju da poboljšavaju svoje tehnike napada i vještine kako bi duže ostali u mrežama žrtava, izbjegli otkrivanje i osujetili operacije oporavka.