SolarWindsi rünnaku taga oleval grupil Nobeliumil on endiselt käsutuses suur täiustatud häkkimisvõimaluste arsenal. Sellise järelduse tegid Mandiandi turvaspetsialistid hiljutises uuringus. Nende - tõenäoliselt riigi toetatud - häkkerite oht pole veel möödas.
Aasta tagasi õnnestus Nobeliumi häkkeritel tungida sisse Ameerika turvaspetsialisti SolarWindsi. Seejärel häkiti palju selle turvaspetsialisti kliente, umbes 18,000 XNUMX, sealhulgas Microsoft ja ka USA valitsus. Seda koos kõigi selle tagajärgedega.
Häkkerite tausta edasi uurides selgus, et Nobeliumi häkkereid kahtlustatakse riigilt abi saamises. See on ilmselt Venemaa.
Nobelium on enim tuntud oma täiustatud taktika, tehnika ja protseduuride, tuntud ka kui TTP, poolest. Selle asemel, et rünnata oma ohvreid ükshaaval, eelistavad nad valida ühe ettevõtte, mis teenindab mitut klienti. Viimase ettevõtte häkkimise kaudu otsivad häkkerid omamoodi "peavõtit", mis seejärel lihtsalt "avab" klientidele uksed.
Uurimistöö Mandiant
Mandiandi uuringud näitavad, et Nobelium ja kaks häkkerirühmitust UNC3004 ja UNC2652, mis kuuluvad sellesse häkkimiskonglomeraati, on oma TTP-tegevust veelgi täiustanud. Eriti rünnakute puhul cloud tarnijatele ja MSP-dele, et jõuda veelgi rohkemate ettevõteteni.
Häkkerite uued tehnikad on teiste häkkerite teabevaraste pahavarakampaaniate kaudu saadud mandaatide kasutamine. Sellega otsisid Nobeliumi häkkerid esimest juurdepääsu ohvritele. Häkkerid kasutasid tundlike meiliandmete kogumiseks ka rakenduse esinemise õigustega kontosid. Häkkerid kasutasid mõjutatud ohvritega suhtlemiseks nii tarbijatele suunatud IP-puhverserveri teenuseid kui ka uut kohalikku infrastruktuuri.
Muud tehnikad
Samuti kasutasid nad sisemiste marsruutimise konfiguratsioonide määramiseks uusi TTP-võimalusi turvapiirangutest möödahiilimiseks erinevates keskkondades, sealhulgas virtuaalmasinates. Teine kasutatud tööriist oli uus CEELOADER allalaadija. Häkkeritel õnnestus isegi tungida Microsoft Azure'i kontode aktiivsetesse kataloogidesse ja varastada „peavõtmeid”, mis võimaldavad juurdepääsu mõjutatud osapoole klientide kataloogidele. Lõpuks õnnestus häkkeritel nutitelefonide tõukemärguannete abil kuritarvitada mitmefaktorilist autentimist.
Mandiandi teadlased märkasid, et häkkereid huvitasid peamiselt Venemaale olulised andmed. Lisaks varastati mõnel juhul andmeid, et häkkerid pidid teiste ohvrite ründamiseks uued sissepääsud andma.
Nobeliumi püsiv probleem
Aruandes jõutakse järeldusele, et Nobeliumi rünnakud ei lõpe niipea. Teadlaste sõnul täiustavad häkkerid jätkuvalt oma ründetehnikaid ja -oskusi, et viibida kauem ohvrite võrkudes, vältida avastamist ja nurjata taastamistoiminguid.