Ang Nobelium, ang grupo sa luyo sa pag-atake sa SolarWinds, aduna pa'y daghang arsenal sa mga advanced nga kapabilidad sa pag-hack nga magamit niini. Kini ang konklusyon sa mga espesyalista sa seguridad sa Mandiant sa usa ka bag-o nga pagtuon. Ang kapeligrohan niining mga -tingali gipaluyohan sa estado- nga mga hacker wala pa moagi.
Usa ka tuig ang milabay, ang mga hacker sa Nobelium nakahimo sa pag-hack sa American security specialist nga SolarWinds. Pagkahuman, daghang mga kostumer sa kini nga espesyalista sa seguridad ang na-hack, mga 18,000, lakip ang Microsoft ug usab ang gobyerno sa US. Kini uban sa tanan nga mga sangputanan niini.
Ang dugang nga imbestigasyon sa background sa mga hacker nagpadayag nga ang Nobelium hackers gisuspetsahan nga nakadawat tabang gikan sa usa ka nasud. Tingali kini ang Russia.
Ang Nobelium labing nailhan tungod sa mga advanced nga taktika, teknik ug pamaagi niini, nailhan usab nga TTP. Imbis nga atakehon ang ilang mga biktima nga tagsa-tagsa, mas gusto nila nga mopili usa ka kompanya nga nagserbisyo sa daghang mga kustomer. Pinaagi sa usa ka hack sa ulahi nga kompanya, ang mga hacker nangita usa ka klase nga 'master key' nga dayon 'nag-abli' sa mga pultahan sa mga kustomer.
Pagtuon sa Mandiant
Ang panukiduki ni Mandiant nagpakita nga ang Nobelium, ug ang duha ka grupo sa mga hacker UNC3004 ug UNC2652 nga kabahin niining hacking conglomerate, mas nakahingpit sa ilang mga kalihokan sa TTP. Ilabi na alang sa mga pag-atake sa cloud vendors ug MSPs aron maabot ang mas daghang negosyo.
Bag-ong mga teknik sa mga hacker mao ang paggamit sa mga kredensyal nga nakuha pinaagi sa info-stealer malware nga mga kampanya sa ubang mga hacker. Uban niini, ang Nobelium hackers nangita sa unang access sa mga biktima. Gigamit usab sa mga hacker ang mga account nga adunay mga pribilehiyo sa Application Impersonation sa "pag-ani" sa sensitibo nga datos sa email. Gigamit usab sa mga hacker ang parehas nga serbisyo sa IP proxy alang sa mga konsumedor ug bag-ong lokal nga imprastraktura aron makigkomunikar sa mga apektadong biktima.
Ubang mga teknik
Gigamit usab nila ang bag-ong mga kapabilidad sa TTP alang sa pag-bypass sa mga pagdili sa seguridad sa lainlaing mga palibot, lakip ang mga virtual nga makina, aron mahibal-an ang mga pag-configure sa internal nga ruta. Ang laing himan nga gigamit mao ang bag-ong CEELOADER downloader. Ang mga hacker nakahimo pa gani sa pagsulod sa mga aktibong direktoryo sa Microsoft Azure nga mga account ug pagpangawat sa 'master keys' nga naghatag og access sa mga direktoryo sa mga kustomer sa usa ka apektadong partido. Sa katapusan, ang mga hacker nakahimo sa pag-abuso sa multi-factor authentication gamit ang push notifications sa mga smartphones.
Namatikdan sa mga tigdukiduki sa Mandiant nga ang mga hacker labi nga interesado sa datos nga hinungdanon sa Russia. Dugang pa, sa pipila ka mga kaso ang datos gikawat nga ang mga hacker kinahanglan nga maghatag bag-ong mga entrada aron atakehon ang ubang mga biktima.
Nobelium padayon nga problema
Ang taho naghinapos nga ang mga pag-atake sa Nobelium dili mohunong bisan unsang orasa. Sumala sa mga tigdukiduki, ang mga hacker nagpadayon sa pagpalambo sa ilang mga teknik sa pag-atake ug mga kahanas aron magpabilin nga mas dugay sulod sa mga network sa mga biktima, paglikay sa pag-ila ug pagpakyas sa mga operasyon sa pagbawi.