A SolarWinds hackerei új módszereket kínálnak a tömeges támadásokra

A Nobelium, a SolarWinds támadás mögött álló csoport továbbra is fejlett hackelési képességek széles arzenáljával rendelkezik. Erre a következtetésre jutottak a Mandiant biztonsági szakemberei egy friss tanulmányban. Ezeknek a – valószínűleg államilag támogatott – hackereknek a veszélye még nem múlt el.

Egy évvel ezelőtt a Nobelium hackereinek sikerült feltörniük az amerikai SolarWinds biztonsági szakértőt. Ezt követően ennek a biztonsági szakembernek számos ügyfelét feltörték, mintegy 18,000 XNUMX-et, köztük a Microsoftot és az Egyesült Államok kormányát is. Ez annak minden következményével együtt.

A hackerek hátterének további vizsgálata során kiderült, hogy a Nobelium hackereket azzal gyanúsítják, hogy egy országtól kaptak segélyt. Ez valószínűleg Oroszország.

A Nobelium legismertebb fejlett taktikáiról, technikáiról és eljárásairól, más néven TTP-ről. Ahelyett, hogy egyenként támadnák áldozataikat, inkább egy olyan céget választanak, amely több ügyfelet szolgál ki. Az utóbbi cég feltörése révén a hackerek egyfajta „mesterkulcsot” keresnek, amely aztán egyszerűen „megnyitja” az ajtókat az ügyfelek előtt.

Research Mandiant

A Mandiant kutatása azt mutatja, hogy a Nobelium, valamint a két hackercsoport, az UNC3004 és az UNC2652, amelyek ennek a hackerkonglomerátumnak a részét képezik, tovább tökéletesítették TTP-tevékenységüket. Különösen az ellen irányuló támadásoknál cloud szállítókat és MSP-ket, hogy még több vállalkozást elérhessenek.

A hackerek új technikái a más hackerek információlopó malware kampányai során szerzett hitelesítő adatok felhasználása. Ezzel a Nobelium hackerei az első hozzáférést keresték az áldozatokhoz. A hackerek az érzékeny e-mail-adatok „begyűjtésére” is alkalmaztak alkalmazás-megszemélyesítési jogosultságokkal rendelkező fiókokat. A hackerek a fogyasztóknak nyújtott IP-proxy szolgáltatásokat és az új helyi infrastruktúrát is felhasználták az érintett áldozatokkal való kommunikációhoz.

Egyéb technikák

Ezenkívül új TTP-képességeket használtak a biztonsági korlátozások megkerülésére különféle környezetekben, beleértve a virtuális gépeket is, hogy meghatározzák a belső útválasztási konfigurációkat. Egy másik használt eszköz az új CEELOADER letöltő volt. A hackereknek még a Microsoft Azure-fiókok aktív könyvtáraiba is sikerült behatolniuk, és ellopták azokat a „főkulcsokat”, amelyek hozzáférést biztosítanak az érintett fél ügyfeleinek címtáraihoz. Végül a hackereknek sikerült visszaélniük a többtényezős hitelesítéssel az okostelefonok push értesítései segítségével.

A Mandiant kutatói észrevették, hogy a hackereket elsősorban az Oroszország számára fontos adatok érdekelték. Ezenkívül néhány esetben ellopták azokat az adatokat, amelyek szerint a hackereknek új bejáratokat kellett biztosítaniuk, hogy más áldozatokat támadhassanak meg.

Állandó Nobelium probléma

A jelentés arra a következtetésre jut, hogy Nobelium támadásai nem fognak egyhamar leállni. A kutatók szerint a hackerek továbbra is fejlesztik támadási technikáikat és készségeiket, hogy tovább maradjanak az áldozatok hálózatában, elkerüljék az észlelést és meghiúsítsák a helyreállítási műveleteket.