Peretas SolarWinds Memiliki Metode Baru untuk Serangan Massal

Nobelium, kelompok di balik serangan SolarWinds, masih memiliki banyak kemampuan peretasan tingkat lanjut. Ini adalah kesimpulan spesialis keamanan Mandiant dalam sebuah studi baru-baru ini. Bahaya para peretas -mungkin didukung negara- belum berlalu.

Setahun yang lalu, peretas Nobelium berhasil meretas spesialis keamanan Amerika SolarWinds. Selanjutnya, banyak pelanggan spesialis keamanan ini diretas, sekitar 18,000, termasuk Microsoft dan juga pemerintah AS. Ini dengan segala konsekuensinya.

Penyelidikan lebih lanjut terhadap latar belakang para peretas mengungkapkan bahwa para peretas Nobelium diduga menerima bantuan dari suatu negara. Ini mungkin Rusia.

Nobelium terkenal karena taktik, teknik, dan prosedurnya yang canggih, juga dikenal sebagai TTP. Alih-alih menyerang korbannya satu per satu, mereka lebih memilih satu perusahaan yang melayani banyak pelanggan. Melalui peretasan pada perusahaan yang terakhir, para peretas mencari semacam 'kunci utama' yang kemudian 'membuka' pintu bagi pelanggan.

Penelitian Mandiant

Penelitian Mandiant menunjukkan bahwa Nobelium, dan dua kelompok peretas UNC3004 dan UNC2652 yang merupakan bagian dari konglomerat peretasan ini, semakin menyempurnakan aktivitas TTP mereka. Khusus untuk serangan pada cloud vendor dan MSP untuk menjangkau lebih banyak bisnis.

Teknik baru peretas adalah penggunaan kredensial yang diperoleh melalui kampanye malware pencuri info dari peretas lain. Dengan ini, para peretas Nobelium mencari akses pertama ke para korban. Peretas juga menggunakan akun dengan hak istimewa Peniruan Identitas Aplikasi untuk "memanen" data email sensitif. Peretas juga menggunakan layanan proxy IP untuk konsumen dan infrastruktur lokal baru untuk berkomunikasi dengan korban yang terkena dampak.

Teknik lainnya

Mereka juga menggunakan kemampuan TTP baru untuk melewati batasan keamanan di berbagai lingkungan, termasuk mesin virtual, untuk menentukan konfigurasi perutean internal. Alat lain yang digunakan adalah pengunduh CEELOADER baru. Para peretas bahkan berhasil menembus direktori aktif akun Microsoft Azure dan mencuri 'kunci utama' yang memberikan akses ke direktori pelanggan dari pihak yang terpengaruh. Akhirnya, para peretas berhasil menyalahgunakan otentikasi multi-faktor menggunakan pemberitahuan push di ponsel cerdas.

Para peneliti Mandiant memperhatikan bahwa para peretas terutama tertarik pada data yang penting bagi Rusia. Selain itu, dalam beberapa kasus, data dicuri sehingga peretas harus memberi jalan masuk baru untuk menyerang korban lain.

Masalah persisten Nobelium

Laporan tersebut menyimpulkan bahwa serangan Nobelium tidak akan berhenti dalam waktu dekat. Menurut para peneliti, para peretas terus meningkatkan teknik dan keterampilan serangan mereka untuk tinggal lebih lama di dalam jaringan korban, menghindari deteksi, dan menggagalkan operasi pemulihan.