Nobelium, de groep efter de SolarWinds-oanfal, hat noch in grut arsenaal fan avansearre hackmooglikheden ta syn foldwaan. Dit is de konklúzje fan 'e feiligensspesjalisten fan Mandiant yn in resinte stúdzje. It gefaar fan dizze -wierskynlik troch de steat stipe- hackers is noch net foarby.
In jier lyn wisten de Nobelium-hackers de Amerikaanske feiligensspesjalist SolarWinds yn te hacken. Dêrnei waarden in protte klanten fan dizze feiligensspesjalist hackt, sa'n 18,000, wêrûnder Microsoft en ek de Amerikaanske regearing. Dit mei al syn gefolgen.
Fierder ûndersyk nei de eftergrûn fan de hackers die bliken dat de Nobelium-hackers fertocht wurde fan it ûntfangen fan help fan in lân. Dit is wierskynlik Ruslân.
Nobelium is fral bekend om syn avansearre taktyk, techniken en prosedueres, ek wol bekend as TTP. Ynstee fan har slachtoffers ien foar ien oan te fallen, kieze se leaver ien bedriuw dat meardere klanten tsjinnet. Fia in hack op dat lêste bedriuw sykje de hackers in soarte fan 'masterkaai' dy't dan gewoan de doarren 'iepent' foar de klanten.
Undersyk Mandiant
It ûndersyk fan Mandiant lit sjen dat Nobelium, en de twa hackergroepen UNC3004 en UNC2652 dy't diel útmeitsje fan dit hackingkonglomeraat, har TTP-aktiviteiten fierder perfeksjonearre hawwe. Benammen foar oanfallen op cloud leveransiers en MSP's om noch mear bedriuwen te berikken.
Nije techniken fan 'e hackers binne it gebrûk fan bewiisbrieven krigen troch info-stealer malware-kampanjes fan oare hackers. Hjirmei sochten de Nobelium-hackers de earste tagong ta slachtoffers. De hackers brûkten ek akkounts mei tapassings-impersonaasje-privileges om gefoelige e-postgegevens te "ripje". De hackers brûkten ek sawol IP-proxy-tsjinsten foar konsuminten as nije lokale ynfrastruktuer om te kommunisearjen mei troffen slachtoffers.
Oare techniken
Se brûkten ek nije TTP-mooglikheden foar it omgean fan befeiligingsbeperkingen yn ferskate omjouwings, ynklusyf firtuele masines, om ynterne routingkonfiguraasjes te bepalen. In oar ark dat brûkt waard wie de nije CEELOADER-downloader. De hackers slaggen der sels yn om aktive mappen fan Microsoft Azure-akkounts te penetrearjen en 'masterkaaien' te stellen dy't tagong jouwe ta mappen fan klanten fan in troffen partij. Uteinlik slagge it de hackers om multyfaktorautentikaasje te misbrûken mei push-notifikaasjes op smartphones.
De ûndersikers fan Mandiant merkten op dat de hackers benammen ynteressearre wiene yn gegevens dy't wichtich wiene foar Ruslân. Derneist waarden yn guon gefallen gegevens stellen dat de hackers nije yngongen jaan moasten om oare slachtoffers oan te fallen.
Nobelium persistent probleem
It rapport konkludearret dat de oanfallen fan Nobelium net gau stopje. Neffens de ûndersikers bliuwe de hackers har oanfalstechniken en feardigens ferbetterje om langer binnen de netwurken fan 'e slachtoffers te bliuwen, deteksje te foarkommen en hersteloperaasjes te frustrearjen.