Nobelium, la grupo malantaŭ la SolarWinds-atako, ankoraŭ havas grandan arsenalon de altnivelaj kodkapabloj je sia dispono. Ĉi tio estas la konkludo de la sekurecaj specialistoj de Mandiant en lastatempa studo. La danĝero de ĉi tiuj -verŝajne ŝtatsubtenataj- retpiratoj ankoraŭ ne pasis.
Antaŭ unu jaro, la hackers de Nobelium sukcesis pirati en la usonan sekurecan specialiston SolarWinds. Poste, multaj klientoj de ĉi tiu sekureca specialisto estis hakitaj, ĉirkaŭ 18,000 XNUMX, inkluzive de Microsoft kaj ankaŭ la usona registaro. Ĉi tio kun ĉiuj ĝiaj konsekvencoj.
Plia esploro pri la fono de la piratoj malkaŝis, ke la Nobelium-piratoj estas suspektataj ricevi helpon de lando. Ĉi tio verŝajne estas Rusio.
Nobeliumo estas plej konata pro siaj altnivelaj taktikoj, teknikoj kaj proceduroj, ankaŭ konataj kiel TTP. Anstataŭ ataki siajn viktimojn unu post alia, ili preferas elekti unu kompanion, kiu servas plurajn klientojn. Per hako sur ĉi-lasta firmao, la retpiratoj serĉas specon de "majstra ŝlosilo", kiu tiam simple "malfermas" la pordojn al la klientoj.
Esplorado Mandiant
La esplorado de Mandiant montras, ke Nobelium, kaj la du pirataj grupoj UNC3004 kaj UNC2652, kiuj estas parto de ĉi tiu haka konglomerato, plu perfektigis siajn TTP-agadojn. Precipe por atakoj sur cloud vendistoj kaj MSP-oj por atingi eĉ pli da entreprenoj.
Novaj teknikoj de la piratoj estas la uzo de akreditaĵoj akiritaj per info-ŝtelantaj malware kampanjoj de aliaj piratoj. Kun ĉi tio, la Nobelium-piratoj serĉis la unuan aliron al viktimoj. La piratoj ankaŭ uzis kontojn kun Aplika Impersonado-privilegioj por "rikolti" sentemajn retpoŝtajn datumojn. La piratoj ankaŭ uzis kaj IP-prokurajn servojn por konsumantoj kaj novan lokan infrastrukturon por komuniki kun tuŝitaj viktimoj.
Aliaj teknikoj
Ili ankaŭ uzis novajn TTP-kapablojn por preterpasi sekureclimigojn en diversaj medioj, inkluzive de virtualaj maŝinoj, por determini internajn vojajn konfiguraciojn. Alia ilo uzata estis la nova elŝutilo CELOADER. La hackers eĉ sukcesis penetri aktivajn dosierujojn de Microsoft Azure-kontoj kaj ŝteli "majstrajn ŝlosilojn", kiuj donas aliron al dosierujoj de klientoj de tuŝita partio. Fine, la piratoj sukcesis misuzi plurfaktoran aŭtentikigon per puŝaj sciigoj en saĝtelefonoj.
La Mandiant-esploristoj rimarkis, ke la piratoj ĉefe interesiĝis pri datumoj, kiuj estis gravaj por Rusio. Krome, en iuj kazoj oni ŝtelis datumojn, ke la hackers devis doni novajn enirojn por ataki aliajn viktimojn.
Nobelio persista problemo
La raporto konkludas, ke la atakoj de Nobeliumo ne ĉesos baldaŭ. Laŭ la esploristoj, la piratoj daŭre plibonigas siajn atakteknikojn kaj kapablojn por resti pli longe ene de la retoj de viktimoj, eviti detekton kaj malsukcesigi restarigajn operaciojn.