Nobelium, SolarWinds erasoaren atzean dagoen taldeak, oraindik hacking gaitasun aurreratuen arsenal handi bat dauka eskura. Horixe da Mandianteko segurtasun espezialistek azken ikerketa batean. Hacker hauen arriskua -seguruenik estatuak babestuta- ez da oraindik gainditu.
Duela urtebete, Nobelium hacker-ek SolarWinds segurtasun espezialista estatubatuarra hackeatzea lortu zuten. Ondoren, segurtasun espezialista honen bezero asko hackeatu zituzten, 18,000 inguru, Microsoft barne eta baita AEBetako gobernua ere. Horrek bere ondorio guztiekin.
Hackeren aurrekariak ikertu ondoren, Nobelium hackerrek herrialde baten laguntza jasotzen dutela susmatzen dute. Hau ziurrenik Errusia da.
Nobelium bere taktika, teknika eta prozedura aurreratuengatik da ezaguna, TTP izenez ere ezaguna. Biktimei banan-banan eraso beharrean, nahiago dute bezero anitz zerbitzatzen dituen enpresa bat aukeratu. Azken enpresa honen hack baten bidez, hacker-ek "giltza nagusi" moduko bat bilatzen dute, gero bezeroei ateak "irekitzen" dizkiena.
Ikerketa Mandiant
Mandiant-en ikerketek erakusten dute Nobelium-ek eta hacker-konglomeratu honen parte diren UNC3004 eta UNC2652 bi hacker taldeek beren TTP jarduerak hobetu dituztela. Batez ere, aurkako erasoetarako cloud saltzaileak eta MSPak are negozio gehiagotara iristeko.
Hackeren teknika berriak beste hacker batzuen info-lapurren malware kanpainen bidez lortutako kredentzialak erabiltzea dira. Honekin, Nobelium hacker-ek biktimentzako lehen sarbidea bilatu zuten. Hacker-ek Aplikazioen ordezkapena duten kontuak ere erabili zituzten posta elektronikoko datu sentikorrak "biltzeko". Hacker-ek kontsumitzaileentzako IP proxy zerbitzuak eta tokiko azpiegitura berriak ere erabili zituzten kaltetutako biktimekin komunikatzeko.
Beste teknika batzuk
TTP gaitasun berriak ere erabili zituzten hainbat ingurunetan segurtasun-murrizketak gainditzeko, makina birtualetan barne, barne bideratze-konfigurazioak zehazteko. Erabilitako beste tresna bat CELOADER deskargatzaile berria izan zen. Hacker-ek Microsoft Azure kontuen direktorio aktiboetan sartzea eta kaltetutako alderdi baten bezeroen direktorioetara sarbidea ematen duten "gako nagusiak" lapurtzea ere lortu zuten. Azkenik, hackerrek faktore anitzeko autentifikazioa abusatzea lortu zuten telefonoetan push jakinarazpenak erabiliz.
Mandianteko ikertzaileek ohartu ziren hackerrak Errusiarentzat garrantzitsuak ziren datuetan interesatzen zirela batez ere. Gainera, kasu batzuetan hackerrek beste biktima batzuk erasotzeko sarrera berriak eman behar izan zituzten datuak lapurtu zituzten.
Nobelioaren arazo iraunkorra
Txostenak ondorioztatzen du Nobeliaren erasoak ez direla laster geldituko. Ikertzaileen arabera, hacker-ek eraso-teknikak eta trebetasunak hobetzen jarraitzen dute biktimen sareetan denbora gehiago egoteko, detekzioa saihesteko eta berreskuratze-eragiketak zapuzteko.