Nobelium, die Gruppe hinter dem SolarWinds-Angriff, verfügt immer noch über ein großes Arsenal an fortschrittlichen Hacking-Fähigkeiten. Zu diesem Schluss kommen Sicherheitsspezialisten von Mandiant in einer aktuellen Studie. Die Gefahr dieser – vermutlich staatlich unterstützten – Hacker ist noch nicht gebannt.
Vor einem Jahr gelang es den Nobelium-Hackern, sich in den amerikanischen Sicherheitsspezialisten SolarWinds zu hacken. In der Folge wurden viele Kunden des Sicherheitsspezialisten gehackt, etwa 18,000, darunter Microsoft und auch die US-Regierung. Dies mit all seinen Konsequenzen.
Weitere Ermittlungen zum Hintergrund der Hacker ergaben, dass die Nobelium-Hacker im Verdacht stehen, Hilfe von einem Land zu erhalten. Das ist wahrscheinlich Russland.
Nobelium ist vor allem für seine fortschrittlichen Taktiken, Techniken und Verfahren bekannt, die auch als TTP bekannt sind. Anstatt ihre Opfer einzeln anzugreifen, wählen sie lieber ein Unternehmen aus, das mehrere Kunden bedient. Durch einen Hack auf letzteres Unternehmen suchen die Hacker nach einer Art „Hauptschlüssel“, der den Kunden dann einfach die Türen „öffnet“.
Forschungsmandiant
Die Recherchen von Mandiant zeigen, dass Nobelium und die beiden Hackergruppen UNC3004 und UNC2652, die Teil dieses Hacking-Konglomerats sind, ihre TTP-Aktivitäten weiter perfektioniert haben. Vor allem für Angriffe auf cloud Anbieter und MSPs, um noch mehr Unternehmen zu erreichen.
Neue Techniken der Hacker sind die Verwendung von Zugangsdaten, die durch Info-Stealer-Malware-Kampagnen anderer Hacker erlangt wurden. Damit suchten die Nobelium-Hacker den ersten Zugang zu Opfern. Die Hacker nutzten auch Konten mit Berechtigungen zum Identitätswechsel, um vertrauliche E-Mail-Daten zu „ernten“. Die Hacker nutzten außerdem sowohl IP-Proxy-Dienste für Verbraucher als auch neue lokale Infrastrukturen, um mit betroffenen Opfern zu kommunizieren.
Andere Techniken
Sie nutzten auch neue TTP-Funktionen zur Umgehung von Sicherheitsbeschränkungen in verschiedenen Umgebungen, einschließlich virtueller Maschinen, um interne Routing-Konfigurationen zu bestimmen. Ein weiteres verwendetes Tool war der neue Downloader CEELOADER. Den Hackern gelang es sogar, in aktive Verzeichnisse von Microsoft Azure-Konten einzudringen und „Hauptschlüssel“ zu stehlen, die den Zugriff auf Verzeichnisse von Kunden einer betroffenen Partei ermöglichen. Schließlich gelang es den Hackern, die Multi-Faktor-Authentifizierung mithilfe von Push-Benachrichtigungen auf Smartphones zu missbrauchen.
Den Mandiant-Forschern fiel auf, dass die Hacker vor allem an für Russland wichtigen Daten interessiert waren. Zudem wurden in einigen Fällen Daten gestohlen, die den Hackern neue Zugänge geben mussten, um andere Opfer anzugreifen.
Dauerhaftes Nobelium-Problem
Der Bericht kommt zu dem Schluss, dass die Angriffe von Nobelium so schnell nicht aufhören werden. Den Forschern zufolge verbessern die Hacker weiterhin ihre Angriffstechniken und -fähigkeiten, um länger in den Netzwerken der Opfer zu bleiben, eine Entdeckung zu vermeiden und Wiederherstellungsvorgänge zu vereiteln.