Nobelium, el grupo detrás del ataque SolarWinds, todavía tiene un gran arsenal de capacidades avanzadas de piratería a su disposición. Esta es la conclusión de los especialistas en seguridad de Mandiant en un estudio reciente. El peligro de estos hackers -probablemente respaldados por el estado- aún no ha pasado.
Hace un año, los piratas informáticos de Nobelium lograron piratear el especialista en seguridad estadounidense SolarWinds. Posteriormente, muchos clientes de este especialista en seguridad fueron hackeados, unos 18,000, entre ellos Microsoft y también el gobierno estadounidense. Esto con todas sus consecuencias.
La investigación adicional sobre los antecedentes de los piratas informáticos reveló que se sospecha que los piratas informáticos de Nobelium reciben ayuda de un país. Esto es probablemente Rusia.
Nobelium es mejor conocido por sus tácticas, técnicas y procedimientos avanzados, también conocidos como TTP. En lugar de atacar a sus víctimas una por una, prefieren elegir una empresa que atienda a varios clientes. A través de un hackeo a esta última empresa, los piratas informáticos buscan una especie de 'llave maestra' que luego simplemente 'abre' las puertas a los clientes.
Mandato de investigación
La investigación de Mandiant muestra que Nobelium y los dos grupos de piratas informáticos UNC3004 y UNC2652 que forman parte de este conglomerado de piratería han perfeccionado aún más sus actividades de TTP. especialmente para los ataques a cloud proveedores y MSP para llegar a más empresas.
Las nuevas técnicas de los piratas informáticos son el uso de credenciales obtenidas a través de campañas de malware de robo de información de otros piratas informáticos. Con esto, los hackers de Nobelium buscaban el primer acceso a las víctimas. Los piratas informáticos también utilizaron cuentas con privilegios de suplantación de identidad de aplicaciones para "recolectar" datos de correo electrónico confidenciales. Los piratas informáticos también utilizaron los servicios de proxy IP para los consumidores y la nueva infraestructura local para comunicarse con las víctimas afectadas.
Otras tecnicas
También utilizaron las nuevas capacidades de TTP para eludir las restricciones de seguridad en varios entornos, incluidas las máquinas virtuales, para determinar las configuraciones de enrutamiento interno. Otra herramienta utilizada fue el nuevo descargador CEELOADER. Los piratas incluso lograron penetrar en directorios activos de cuentas de Microsoft Azure y robar 'claves maestras' que dan acceso a directorios de clientes de una parte afectada. Finalmente, los piratas informáticos lograron abusar de la autenticación multifactor utilizando notificaciones automáticas en los teléfonos inteligentes.
Los investigadores de Mandiant notaron que los piratas informáticos estaban interesados principalmente en datos que eran importantes para Rusia. Además, en algunos casos se robaron datos que los hackers tuvieron que dar nuevas entradas para atacar a otras víctimas.
Problema persistente del nobelium
El informe concluye que los ataques de Nobelium no se detendrán pronto. Según los investigadores, los piratas informáticos continúan mejorando sus técnicas y habilidades de ataque para permanecer más tiempo dentro de las redes de las víctimas, evitar la detección y frustrar las operaciones de recuperación.