Η Nobelium, η ομάδα πίσω από την επίθεση της SolarWinds, έχει ακόμα ένα μεγάλο οπλοστάσιο προηγμένων δυνατοτήτων hacking στη διάθεσή της. Αυτό είναι το συμπέρασμα των ειδικών ασφαλείας της Mandiant σε πρόσφατη μελέτη. Ο κίνδυνος αυτών των -μάλλον από το κράτος- χάκερ δεν έχει περάσει ακόμα.
Πριν από ένα χρόνο, οι χάκερ του Nobelium κατάφεραν να εισβάλουν στον Αμερικανό ειδικό σε θέματα ασφάλειας SolarWinds. Στη συνέχεια, πολλοί πελάτες αυτού του ειδικού σε θέματα ασφάλειας υπέστησαν χακάρισμα, περίπου 18,000, συμπεριλαμβανομένης της Microsoft και της κυβέρνησης των ΗΠΑ. Αυτό με όλες τις συνέπειές του.
Περαιτέρω έρευνα για το ιστορικό των χάκερ αποκάλυψε ότι οι χάκερ του Nobelium είναι ύποπτοι για λήψη βοήθειας από μια χώρα. Αυτή είναι μάλλον η Ρωσία.
Το Nobelium είναι περισσότερο γνωστό για τις προηγμένες τακτικές, τεχνικές και διαδικασίες του, γνωστές και ως TTP. Αντί να επιτίθενται στα θύματά τους ένα προς ένα, προτιμούν να επιλέξουν μια εταιρεία που εξυπηρετεί πολλούς πελάτες. Μέσω ενός hack στην τελευταία εταιρεία, οι χάκερ αναζητούν ένα είδος «κύριο κλειδιού» που στη συνέχεια απλώς «ανοίγει» τις πόρτες στους πελάτες.
Έρευνα Mandiant
Η έρευνα της Mandiant δείχνει ότι η Nobelium και οι δύο ομάδες χάκερ UNC3004 και UNC2652 που αποτελούν μέρος αυτού του όμιλου hacking, έχουν τελειοποιήσει περαιτέρω τις δραστηριότητές τους TTP. Ειδικά για επιθέσεις σε cloud πωλητές και MSP για να προσεγγίσουν ακόμη περισσότερες επιχειρήσεις.
Οι νέες τεχνικές των χάκερ είναι η χρήση διαπιστευτηρίων που αποκτώνται μέσω εκστρατειών κακόβουλου λογισμικού κλοπής πληροφοριών άλλων χάκερ. Με αυτό, οι χάκερ του Nobelium αναζήτησαν την πρώτη πρόσβαση στα θύματα. Οι χάκερ χρησιμοποίησαν επίσης λογαριασμούς με προνόμια πλαστοπροσωπίας εφαρμογής για να «συλλέξουν» ευαίσθητα δεδομένα email. Οι χάκερ χρησιμοποίησαν επίσης υπηρεσίες διακομιστή μεσολάβησης IP για τους καταναλωτές και νέες τοπικές υποδομές για να επικοινωνήσουν με τα θύματα που επηρεάστηκαν.
Άλλες τεχνικές
Χρησιμοποίησαν επίσης νέες δυνατότητες TTP για την παράκαμψη των περιορισμών ασφαλείας σε διάφορα περιβάλλοντα, συμπεριλαμβανομένων των εικονικών μηχανών, για τον προσδιορισμό των εσωτερικών διαμορφώσεων δρομολόγησης. Ένα άλλο εργαλείο που χρησιμοποιήθηκε ήταν το νέο πρόγραμμα λήψης CEELOADER. Οι χάκερ κατάφεραν ακόμη και να διεισδύσουν σε ενεργούς καταλόγους λογαριασμών Microsoft Azure και να κλέψουν «κύρια κλειδιά» που δίνουν πρόσβαση σε καταλόγους πελατών ενός πληγέντος μέρους. Τέλος, οι χάκερ κατάφεραν να κάνουν κατάχρηση του ελέγχου ταυτότητας πολλαπλών παραγόντων χρησιμοποιώντας ειδοποιήσεις push σε smartphone.
Οι ερευνητές του Mandiant παρατήρησαν ότι οι χάκερ ενδιαφέρονταν κυρίως για δεδομένα που ήταν σημαντικά για τη Ρωσία. Επιπλέον, σε ορισμένες περιπτώσεις κλάπηκαν δεδομένα ότι οι χάκερ έπρεπε να δώσουν νέες εισόδους για να επιτεθούν σε άλλα θύματα.
Επίμονο πρόβλημα Nobelium
Η έκθεση καταλήγει στο συμπέρασμα ότι οι επιθέσεις του Nobelium δεν θα σταματήσουν σύντομα. Σύμφωνα με τους ερευνητές, οι χάκερ συνεχίζουν να βελτιώνουν τις τεχνικές επίθεσης και τις δεξιότητές τους για να παραμείνουν περισσότερο στα δίκτυα των θυμάτων, να αποφύγουν τον εντοπισμό και να ματαιώσουν τις επιχειρήσεις ανάκτησης.