Nobelium-ը՝ SolarWinds-ի հարձակման հետևում կանգնած խումբը, դեռևս իր տրամադրության տակ ունի առաջադեմ հաքերային հնարավորությունների մեծ զինանոց: Այսպիսի եզրակացության են եկել Mandiant-ի անվտանգության մասնագետները վերջերս կատարած ուսումնասիրության մեջ։ Այս -հավանաբար պետության կողմից աջակցվող- հաքերների վտանգը դեռ չի անցել։
Մեկ տարի առաջ Nobelium հաքերներին հաջողվել է կոտրել ամերիկյան SolarWinds անվտանգության մասնագետը։ Հետագայում հաքերային հարձակման են ենթարկվել այս անվտանգության մասնագետի շատ հաճախորդներ՝ մոտ 18,000, այդ թվում՝ Microsoft-ը և նաև ԱՄՆ կառավարությունը։ Սա իր բոլոր հետևանքներով։
Հաքերների նախապատմության հետագա հետաքննությունը պարզել է, որ Nobelium հաքերները կասկածվում են որևէ երկրից օգնություն ստանալու մեջ։ Սա հավանաբար Ռուսաստանն է։
Նոբելիումը առավել հայտնի է իր առաջադեմ մարտավարությամբ, տեխնիկայով և ընթացակարգերով, որոնք նաև հայտնի են որպես TTP: Իրենց զոհերի վրա մեկ առ մեկ հարձակվելու փոխարեն նրանք նախընտրում են ընտրել մեկ ընկերություն, որը սպասարկում է բազմաթիվ հաճախորդների: Վերջին ընկերության վրա հարձակման միջոցով հաքերները փնտրում են մի տեսակ «գլխավոր բանալի», որն այնուհետ պարզապես «բացում է» դռները հաճախորդների առաջ:
Հետազոտական մանդիանտ
Mandiant-ի հետազոտությունը ցույց է տալիս, որ Nobelium-ը և UNC3004 և UNC2652 հաքերային երկու խմբերը, որոնք այս հաքերային կոնգլոմերատի մաս են կազմում, ավելի կատարելագործել են իրենց TTP գործունեությունը: Հատկապես վրա հարձակումների համար cloud վաճառողներ և MSP-ներ՝ ավելի շատ բիզնեսների հասնելու համար:
Հաքերների նոր տեխնիկան հավատարմագրերի օգտագործումն է, որը ձեռք է բերվել այլ հաքերների ինֆո-գողացող չարամիտ արշավների միջոցով: Դրանով Նոբելիումի հաքերները փնտրեցին զոհերի առաջին մուտքը։ Հաքերները նաև օգտագործել են Application Impersonation-ի արտոնություններ ունեցող հաշիվները՝ էլփոստի զգայուն տվյալները «հավաքելու» համար: Հաքերները նաև օգտագործել են ինչպես IP պրոքսի ծառայություններ սպառողների համար, այնպես էլ նոր տեղական ենթակառուցվածք՝ տուժածների հետ շփվելու համար:
Այլ տեխնիկա
Նրանք նաև օգտագործեցին նոր TTP հնարավորությունները՝ շրջանցելու անվտանգության սահմանափակումները տարբեր միջավայրերում, ներառյալ վիրտուալ մեքենաները, որոշելու ներքին երթուղային կոնֆիգուրացիաները: Օգտագործված մեկ այլ գործիք էր նոր CEELOADER ներբեռնիչը: Հաքերներին հաջողվել է նույնիսկ ներթափանցել Microsoft Azure-ի հաշիվների ակտիվ գրացուցակներ և գողանալ «հիմնական բանալիներ», որոնք թույլ են տալիս մուտք գործել տուժած կողմի հաճախորդների տեղեկատուներ: Ի վերջո, հաքերներին հաջողվել է չարաշահել բազմագործոն նույնականացումը սմարթֆոնների վրա push ծանուցումների միջոցով:
Mandiant-ի հետազոտողները նկատել են, որ հաքերներին հիմնականում հետաքրքրում են Ռուսաստանի համար կարևոր տվյալները։ Բացի այդ, որոշ դեպքերում գողացվել են տվյալներ, որ հաքերները ստիպված են եղել նոր մուտքեր տալ այլ զոհերի վրա հարձակվելու համար։
Նոբելիումի մշտական խնդիր
Զեկույցը եզրակացնում է, որ Նոբելիումի հարձակումները շուտով չեն դադարի։ Հետազոտողների խոսքով՝ հաքերները շարունակում են կատարելագործել հարձակման իրենց տեխնիկան և հմտությունները՝ զոհերի ցանցում ավելի երկար մնալու, հայտնաբերելուց խուսափելու և վերականգնման գործողությունները ձախողելու համար: