Nobelium, el grup darrere de l'atac de SolarWinds, encara té un gran arsenal de capacitats de pirateria avançada a la seva disposició. Aquesta és la conclusió dels especialistes en seguretat de Mandiant en un estudi recent. El perill d'aquests pirates informàtics -segurament recolzats per l'estat- encara no ha passat.
Fa un any, els pirates informàtics Nobelium van aconseguir piratejar l'especialista en seguretat nord-americà SolarWinds. Posteriorment, molts clients d'aquest especialista en seguretat van ser piratejats, uns 18,000, entre ells Microsoft i també el govern dels EUA. Això amb totes les seves conseqüències.
Una investigació addicional sobre els antecedents dels pirates informàtics va revelar que se sospita que els pirates informàtics Nobelium reben ajuda d'un país. Això és probablement Rússia.
Nobelium és més conegut per les seves tàctiques, tècniques i procediments avançats, també coneguts com a TTP. En lloc d'atacar les seves víctimes una per una, prefereixen triar una empresa que serveixi a diversos clients. Mitjançant un pirateig a aquesta darrera empresa, els pirates informàtics busquen una mena de "clau mestra" que després simplement "obre" les portes als clients.
Recerca Mandiant
La investigació de Mandiant mostra que Nobelium i els dos grups de pirates informàtics UNC3004 i UNC2652 que formen part d'aquest conglomerat de pirateria, han perfeccionat encara més les seves activitats TTP. Sobretot per als atacs cloud venedors i MSP per arribar a encara més empreses.
Les noves tècniques dels pirates informàtics són l'ús de credencials obtingudes mitjançant campanyes de programari maliciós robatori d'informació d'altres pirates informàtics. Amb això, els hackers Nobelium van buscar el primer accés a les víctimes. Els pirates informàtics també van utilitzar comptes amb privilegis de suplantació d'aplicacions per "recollir" dades de correu electrònic sensibles. Els pirates informàtics també van utilitzar serveis de proxy IP per als consumidors i una nova infraestructura local per comunicar-se amb les víctimes afectades.
Altres tècniques
També van utilitzar noves capacitats TTP per evitar les restriccions de seguretat en diversos entorns, incloses les màquines virtuals, per determinar les configuracions d'encaminament intern. Una altra eina utilitzada va ser el nou descarregador CELOADER. Els pirates informàtics fins i tot van aconseguir penetrar en directoris actius de comptes de Microsoft Azure i robar "claus mestres" que donen accés als directoris de clients d'una part afectada. Finalment, els pirates informàtics van aconseguir abusar de l'autenticació multifactorial mitjançant notificacions push als telèfons intel·ligents.
Els investigadors de Mandiant van notar que els pirates informàtics estaven interessats principalment en dades importants per a Rússia. A més, en alguns casos es van robar dades que els pirates informàtics havien de donar noves entrades per atacar altres víctimes.
Problema persistent del Nobel
L'informe conclou que els atacs de Nobelium no s'aturaran aviat. Segons els investigadors, els pirates informàtics continuen millorant les seves tècniques i habilitats d'atac per romandre més temps a les xarxes de les víctimes, evitar la detecció i frustrar les operacions de recuperació.