Nobelium, u gruppu daretu à l'attaccu SolarWinds, hà sempre un grande arsenale di capacità di pirate avanzate à a so dispusizione. Questa hè a cunclusione di i specialisti di sicurità di Mandiant in un studiu recente. U periculu di sti pirate - prubabilmente sustinuti da u statu - ùn hè ancu passatu.
Un annu fà, i pirate di Nobelium anu sappiutu pirate in u specialista di sicurezza americanu SolarWinds. In seguitu, parechji clienti di stu specialista di sicurezza sò stati pirate, circa 18,000 XNUMX, cumpresu Microsoft è ancu u guvernu US. Questu cù tutte e so cunsequenze.
Ulteriori investigazioni nantu à u sfondate di i pirate pirate anu revelatu chì i pirate di Nobelium sò suspettati di riceve aiutu da un paese. Questu hè probabilmente a Russia.
Nobelium hè più cunnisciutu per e so tattiche, tecniche è prucedure avanzate, cunnisciutu ancu TTP. Invece di attaccà e so vittime una per una, preferanu sceglie una cumpagnia chì serve parechji clienti. Via un pirate nantu à l'ultima cumpagnia, i pirati cercanu una spezia di "chiavi maestra" chì dopu solu "apre" e porte à i clienti.
Ricerca Mandiant
A ricerca di Mandiant mostra chì Nobelium, è i dui gruppi di pirate UNC3004 è UNC2652 chì sò parti di stu conglomeratu di pirate, anu perfezionatu ancu e so attività TTP. In particulare per l'attacchi cloud venditori è MSP per ghjunghje ancu più imprese.
Novi tecnichi di i pirate sò l'usu di credenziali ottenuti attraversu campagni di malware info-stealer di altri pirate. Cù questu, i pirate Nobelium cercanu u primu accessu à e vittimi. I pirate anu ancu utilizatu cunti cù privilegi di l'Impersonificazione di l'Applicazione per "raccolte" dati di email sensittivi. I pirate anu ancu utilizatu servizii proxy IP per i cunsumatori è una nova infrastruttura lucale per cumunicà cù e vittimi affettati.
Altre tecniche
Anu ancu utilizatu novi capacità TTP per scaccià e restrizioni di sicurezza in diversi ambienti, cumprese macchine virtuali, per determinà e cunfigurazioni di routing internu. Un altru strumentu utilizatu era u novu scaricatore CELOADER. I pirate anu ancu riesciutu à penetrà in cartulari attivi di i cunti Microsoft Azure è arrubbanu "chjavi maestri" chì dà accessu à i cartulari di i clienti di una parte affettata. Infine, i pirate anu sappiutu abusà di l'autenticazione multifattore utilizendu notificazioni push in i telefoni intelligenti.
I circadori Mandiant anu nutatu chì i pirate sò principalmente interessate in dati chì era impurtante per a Russia. Inoltre, in certi casi, i dati sò stati arrubati chì i pirate anu da dà novi entrate per attaccà altre vittimi.
Problema persistente Nobelium
U rapportu cuncludi chì l'attacchi di Nobelium ùn si fermanu micca prestu. Sicondu i circadori, i pirate cuntinueghjanu à migliurà e so tecniche di attaccu è e so cumpetenze per stà più longu in e rete di e vittime, evitendu a deteczione è frustrate l'operazioni di ricuperazione.