Nobeliumilla, SolarWinds-hyökkäyksen takana olevalla ryhmällä, on edelleen käytössään suuri arsenaali edistyneitä hakkerointiominaisuuksia. Tämä on Mandiantin tietoturva-asiantuntijoiden johtopäätös tuoreessa tutkimuksessa. Näiden - luultavasti valtion tukemien - hakkerien vaara ei ole vielä ohi.
Vuosi sitten Nobelium-hakkerit onnistuivat murtautumaan amerikkalaisen turvallisuusasiantuntijan SolarWindsiin. Myöhemmin monet tämän tietoturvaasiantuntijan asiakkaat hakkeroitiin, noin 18,000 XNUMX, mukaan lukien Microsoft ja myös Yhdysvaltain hallitus. Tämä kaikkine seurauksineen.
Hakkereiden taustaa tutkittaessa selvisi, että Nobelium-hakkereita epäillään saaneensa apua jostakin maasta. Tämä on luultavasti Venäjä.
Nobelium tunnetaan parhaiten edistyneistä taktiikoistaan, tekniikoistaan ja menetelmistään, jotka tunnetaan myös nimellä TTP. Sen sijaan, että hyökkäsivät uhrejaan yksitellen, he valitsevat mieluummin yhden yrityksen, joka palvelee useita asiakkaita. Jälkimmäiseen yritykseen tehdyn hakkeroinnin kautta hakkerit etsivät eräänlaista "pääavainta", joka sitten yksinkertaisesti "avaa" ovet asiakkaille.
Research Mandiant
Mandiantin tutkimus osoittaa, että Nobelium ja kaksi hakkeriryhmää UNC3004 ja UNC2652, jotka ovat osa tätä hakkerointiryhmittymää, ovat edelleen kehittäneet TTP-toimintaansa. Varsinkin hyökkäyksiä vastaan cloud myyjät ja MSP:t tavoittaakseen entistä enemmän yrityksiä.
Hakkereiden uusia tekniikoita ovat muiden hakkerien tietovarastajien haittaohjelmakampanjoiden kautta saatujen tunnistetietojen käyttö. Tällä Nobeliumin hakkerit etsivät ensimmäistä pääsyä uhrien luo. Hakkerit käyttivät myös tilejä, joilla oli Application Impersonation -oikeudet kerätäkseen arkaluonteisia sähköpostitietoja. Hakkerit käyttivät myös sekä IP-välityspalvelinpalveluja kuluttajille että uutta paikallista infrastruktuuria viestiäkseen uhrien kanssa.
Muut tekniikat
He käyttivät myös uusia TTP-ominaisuuksia turvarajoitusten ohittamiseen eri ympäristöissä, mukaan lukien virtuaalikoneissa, määrittääkseen sisäiset reitityskokoonpanot. Toinen käytetty työkalu oli uusi CEELOADER-latausohjelma. Hakkerit onnistuivat jopa tunkeutumaan Microsoft Azure -tilien aktiivisiin hakemistoihin ja varastamaan "pääavaimet", jotka antavat pääsyn asianomaisen osapuolen asiakkaiden hakemistoihin. Lopulta hakkerit onnistuivat väärinkäyttämään monitekijätodennusta käyttämällä älypuhelimien push-ilmoituksia.
Mandiant-tutkijat huomasivat, että hakkerit olivat kiinnostuneita pääasiassa Venäjälle tärkeistä tiedoista. Lisäksi joissain tapauksissa varastettiin tietoja siitä, että hakkereiden oli avattava uusia sisäänkäyntejä hyökätäkseen muiden uhrien kimppuun.
Nobeliumin jatkuva ongelma
Raportissa todetaan, että Nobeliumin hyökkäykset eivät lopu lähiaikoina. Tutkijoiden mukaan hakkerit parantavat edelleen hyökkäystekniikoitaan ja -taitojaan pysyäkseen pidempään uhrien verkostoissa, välttääkseen havaitsemisen ja estääkseen palautusoperaatiot.