Nobelium, skupina stojící za útokem SolarWinds, má stále k dispozici velký arzenál pokročilých hackerských schopností. K tomuto závěru dospěli bezpečnostní specialisté společnosti Mandiant v nedávné studii. Nebezpečí těchto – pravděpodobně státem podporovaných – hackerů ještě nepominulo.
Hackerům z Nobelium se před rokem podařilo proniknout do amerického bezpečnostního specialisty SolarWinds. Následně bylo napadeno mnoho zákazníků tohoto bezpečnostního specialisty, asi 18,000 XNUMX, včetně Microsoftu a také americké vlády. To se všemi důsledky.
Další vyšetřování pozadí hackerů odhalilo, že hackeři Nobelium jsou podezřelí z přijímání pomoci od nějaké země. Tohle je pravděpodobně Rusko.
Nobelium je známé především pro svou pokročilou taktiku, techniky a postupy, známé také jako TTP. Místo toho, aby útočili na své oběti jednu po druhé, raději si vyberou jednu společnost, která obsluhuje více zákazníků. Prostřednictvím hacku na posledně jmenované společnosti hackeři hledají jakýsi „hlavní klíč“, který pak jednoduše „otevře“ dveře zákazníkům.
Research Mandiant
Výzkum společnosti Mandiant ukazuje, že Nobelium a dvě hackerské skupiny UNC3004 a UNC2652, které jsou součástí tohoto hackerského konglomerátu, dále zdokonalily své aktivity TTP. Zejména pro útoky na cloud prodejců a MSP, aby oslovili ještě více podniků.
Nové techniky hackerů jsou využití přihlašovacích údajů získaných prostřednictvím malwarových kampaní jiných hackerů. Díky tomu hackeři z Nobelium hledali první přístup k obětem. Hackeři také používali účty s oprávněními k zosobnění aplikace ke „sklízení“ citlivých e-mailových dat. Hackeři také používali jak služby IP proxy pro spotřebitele, tak novou místní infrastrukturu ke komunikaci s postiženými oběťmi.
Další techniky
Použili také nové možnosti TTP pro obcházení bezpečnostních omezení v různých prostředích, včetně virtuálních strojů, k určení vnitřních konfigurací směrování. Dalším použitým nástrojem byl nový downloader CEELOADER. Hackerům se dokonce podařilo proniknout do aktivních adresářů účtů Microsoft Azure a ukrást „hlavní klíče“, které umožňují přístup k adresářům zákazníků postižené strany. Hackerům se nakonec podařilo zneužít vícefaktorové ověřování pomocí push notifikací na chytrých telefonech.
Výzkumníci z Mandiantu si všimli, že hackeři se zajímali hlavně o data, která byla pro Rusko důležitá. Kromě toho byla v některých případech odcizena data, kterým hackeři museli poskytnout nové vchody, aby mohli zaútočit na další oběti.
Nobelium přetrvávající problém
Zpráva dochází k závěru, že útoky Nobelia se v dohledné době nezastaví. Podle výzkumníků hackeři pokračují ve zdokonalování svých útočných technik a dovedností, aby zůstali déle v sítích obětí, vyhnuli se detekci a zmařili operace obnovy.