Nobelium, o grupo detrás do ataque SolarWinds, aínda ten un gran arsenal de capacidades avanzadas de hackeo á súa disposición. Esta é a conclusión dos especialistas en seguridade de Mandiant nun estudo recente. O perigo destes hackers -probablemente apoiados polo Estado- aínda non pasou.
Hai un ano, os piratas informáticos Nobelium conseguiron piratear ao especialista estadounidense en seguridade SolarWinds. Posteriormente, moitos clientes deste especialista en seguridade foron pirateados, uns 18,000, entre eles Microsoft e tamén o goberno dos Estados Unidos. Isto con todas as súas consecuencias.
Unha investigación máis adiante sobre os antecedentes dos hackers revelou que se sospeita que os hackers Nobelium reciben axuda dun país. Isto probablemente sexa Rusia.
Nobelium é máis coñecido polas súas tácticas, técnicas e procedementos avanzados, tamén coñecidos como TTP. En lugar de atacar ás súas vítimas unha por unha, prefiren escoller unha empresa que atende a varios clientes. A través dun pirateo a esta última empresa, os hackers buscan unha especie de "chave mestra" que despois simplemente "abre" as portas aos clientes.
Investigador Mandiant
A investigación de Mandiant mostra que Nobelium e os dous grupos de piratas informáticos UNC3004 e UNC2652 que forman parte deste conglomerado de hackers perfeccionaron aínda máis as súas actividades TTP. Sobre todo para os ataques cloud provedores e MSP para chegar a aínda máis empresas.
As novas técnicas dos hackers son o uso de credenciais obtidas mediante campañas de malware de ladrones de información doutros hackers. Con isto, os hackers Nobelium buscaron o primeiro acceso ás vítimas. Os piratas informáticos tamén usaron contas con privilexios de suplantación de aplicacións para "coller" datos de correo electrónico sensibles. Os hackers tamén utilizaron servizos de proxy IP para consumidores e novas infraestruturas locais para comunicarse coas vítimas afectadas.
Outras técnicas
Tamén utilizaron novas capacidades TTP para evitar restricións de seguridade en varios ambientes, incluídas máquinas virtuais, para determinar as configuracións de enrutamento interno. Outra ferramenta utilizada foi o novo descargador CELOADER. Os hackers incluso conseguiron penetrar nos directorios activos das contas de Microsoft Azure e roubar "chaves mestras" que dan acceso a directorios de clientes dunha parte afectada. Finalmente, os hackers conseguiron abusar da autenticación multifactor mediante notificacións push en teléfonos intelixentes.
Os investigadores de Mandiant notaron que os hackers estaban principalmente interesados en datos que eran importantes para Rusia. Ademais, nalgúns casos roubáronse datos de que os hackers tiñan que dar novas entradas para atacar a outras vítimas.
Problema persistente do Nobelio
O informe conclúe que os ataques de Nobelium non pararán pronto. Segundo os investigadores, os hackers seguen mellorando as súas técnicas e habilidades de ataque para permanecer máis tempo dentro das redes das vítimas, evitar a detección e frustrar as operacións de recuperación.