Mae gan Nobelium, y grŵp y tu ôl i ymosodiad SolarWinds, arsenal fawr o alluoedd hacio uwch ar gael o hyd. Dyma gasgliad arbenigwyr diogelwch Mandiant mewn astudiaeth ddiweddar. Nid yw perygl yr hacwyr hyn - a gefnogir gan y wladwriaeth yn ôl pob tebyg - wedi mynd heibio eto.
Flwyddyn yn ôl, llwyddodd hacwyr Nobelium i hacio i mewn i'r arbenigwr diogelwch Americanaidd SolarWinds. Yn dilyn hynny, cafodd llawer o gwsmeriaid yr arbenigwr diogelwch hwn eu hacio, tua 18,000, gan gynnwys Microsoft a hefyd llywodraeth yr UD. Hyn gyda'i holl ganlyniadau.
Datgelodd ymchwiliad pellach i gefndir yr hacwyr fod yr hacwyr Nobelium yn cael eu hamau o dderbyn cymorth gan wlad. Mae'n debyg mai Rwsia yw hon.
Mae Nobelium yn fwyaf adnabyddus am ei dactegau, technegau a gweithdrefnau datblygedig, a elwir hefyd yn TTP. Yn lle ymosod ar eu dioddefwyr fesul un, mae'n well ganddyn nhw ddewis un cwmni sy'n gwasanaethu cwsmeriaid lluosog. Trwy hacio ar y cwmni olaf, mae'r hacwyr yn chwilio am fath o 'feistr allweddol' sydd wedyn yn syml yn 'agor' y drysau i'r cwsmeriaid.
Mandiant Ymchwil
Mae ymchwil Mandiant yn dangos bod Nobelium, a'r ddau grŵp haciwr UNC3004 ac UNC2652 sy'n rhan o'r conglomerate hacio hwn, wedi perffeithio eu gweithgareddau TTP ymhellach. Yn enwedig ar gyfer ymosodiadau ar cloud gwerthwyr ac ASAau i gyrraedd hyd yn oed mwy o fusnesau.
Technegau newydd yr hacwyr yw'r defnydd o gymwysterau a gafwyd trwy ymgyrchoedd malware info-stealer hacwyr eraill. Gyda hyn, ceisiodd hacwyr Nobelium y mynediad cyntaf i ddioddefwyr. Defnyddiodd yr hacwyr hefyd gyfrifon gyda breintiau Dynwared Cymwysiadau i “gynaeafu” data e-bost sensitif. Defnyddiodd yr hacwyr hefyd wasanaethau dirprwy IP ar gyfer defnyddwyr a seilwaith lleol newydd i gyfathrebu â dioddefwyr yr effeithiwyd arnynt.
Technegau eraill
Fe wnaethant hefyd ddefnyddio galluoedd TTP newydd ar gyfer osgoi cyfyngiadau diogelwch mewn amrywiol amgylcheddau, gan gynnwys peiriannau rhithwir, i bennu ffurfweddiadau llwybro mewnol. Offeryn arall a ddefnyddiwyd oedd y lawrlwythwr CEELOADER newydd. Llwyddodd y hacwyr hyd yn oed i dreiddio i gyfeiriaduron gweithredol o gyfrifon Microsoft Azure a dwyn 'meistr allweddi' sy'n rhoi mynediad i gyfeiriaduron cwsmeriaid parti yr effeithir arnynt. Yn olaf, llwyddodd yr hacwyr i gam-drin dilysu aml-ffactor gan ddefnyddio hysbysiadau gwthio ar ffonau smart.
Sylwodd yr ymchwilwyr Mandiant fod gan yr hacwyr ddiddordeb yn bennaf mewn data a oedd yn bwysig i Rwsia. Yn ogystal, mewn rhai achosion cafodd data ei ddwyn bod yn rhaid i'r hacwyr roi mynedfeydd newydd i ymosod ar ddioddefwyr eraill.
Nobelium problem barhaus
Daw’r adroddiad i’r casgliad na fydd ymosodiadau Nobelium yn dod i ben unrhyw bryd yn fuan. Yn ôl yr ymchwilwyr, mae'r hacwyr yn parhau i wella eu technegau ymosod a'u sgiliau i aros yn hirach o fewn rhwydweithiau dioddefwyr, osgoi canfod a gweithrediadau adfer rhwystredig.