Nobelium, grupa koja stoji iza napada SolarWinds, još uvijek ima na raspolaganju veliki arsenal naprednih hakiranja. Ovo je zaključak stručnjaka za sigurnost Mandianta u nedavnoj studiji. Opasnost ovih hakera - vjerojatno s državnom potporom - još nije prošla.
Prije godinu dana hakeri Nobelium uspjeli su hakirati američkog stručnjaka za sigurnost SolarWinds. Nakon toga, mnogi korisnici ovog stručnjaka za sigurnost bili su hakirani, oko 18,000, uključujući Microsoft i američku vladu. Ovo sa svim svojim posljedicama.
Daljnja istraga o pozadini hakera otkrila je da se hakeri Nobeliuma sumnjiče da su primali pomoć od neke zemlje. Ovo je vjerojatno Rusija.
Nobelium je najpoznatiji po svojim naprednim taktikama, tehnikama i postupcima, također poznatim kao TTP. Umjesto da napadaju svoje žrtve jednu po jednu, radije biraju jednu tvrtku koja opslužuje više kupaca. Hakiranjem potonje tvrtke hakeri traže neku vrstu 'glavnog ključa' koji onda jednostavno 'otvara' vrata kupcima.
Mandiant istraživanja
Mandiantovo istraživanje pokazuje da su Nobelium, te dvije hakerske grupe UNC3004 i UNC2652 koje su dio ovog hakerskog konglomerata, dodatno usavršile svoje TTP aktivnosti. Pogotovo za napade na cloud dobavljače i MSP-ove kako bi dosegli još više poduzeća.
Nove tehnike hakera su korištenje vjerodajnica dobivenih putem zlonamjernih kampanja drugih hakera za krađu informacija. Time su nobelijski hakeri tražili prvi pristup žrtvama. Hakeri su također koristili račune s privilegijama za lažno predstavljanje aplikacije kako bi "ubrali" osjetljive podatke e-pošte. Hakeri su također koristili IP proxy usluge za potrošače i novu lokalnu infrastrukturu za komunikaciju sa pogođenim žrtvama.
Ostale tehnike
Također su koristili nove TTP mogućnosti za zaobilaženje sigurnosnih ograničenja u različitim okruženjima, uključujući virtualne strojeve, kako bi odredili interne konfiguracije usmjeravanja. Drugi korišteni alat bio je novi CEELOADER downloader. Hakeri su čak uspjeli prodrijeti u aktivne imenike Microsoft Azure računa i ukrasti 'master ključeve' koji daju pristup imenicima korisnika pogođene strane. Konačno, hakeri su uspjeli zloupotrijebiti višefaktorsku autentifikaciju koristeći push obavijesti na pametnim telefonima.
Istraživači Mandiant-a primijetili su da su hakere uglavnom zanimali podaci koji su važni za Rusiju. Osim toga, u nekim slučajevima su ukradeni podaci da su hakeri morali dati nove ulaze za napad na druge žrtve.
Nobelium uporni problem
U izvješću se zaključuje da Nobeliumovi napadi neće prestati uskoro. Prema istraživačima, hakeri nastavljaju poboljšavati svoje tehnike napada i vještine kako bi dulje ostali unutar mreža žrtava, izbjegli otkrivanje i osujetili operacije oporavka.