Nobelium, hópurinn á bak við SolarWinds árásina, hefur enn mikið vopnabúr af háþróaðri reiðhestur til ráðstöfunar. Þetta er niðurstaða öryggissérfræðinga Mandiant í nýlegri rannsókn. Hættan af þessum -líklega ríkisstuddu- tölvuþrjótum er enn ekki liðin hjá.
Fyrir ári síðan tókst Nobelium tölvuþrjótunum að hakka sig inn í bandaríska öryggissérfræðinginn SolarWinds. Í kjölfarið var brotist inn á marga viðskiptavini þessa öryggissérfræðings, um 18,000, þar á meðal Microsoft og einnig bandarísk stjórnvöld. Þetta með öllum afleiðingum þess.
Frekari rannsókn á bakgrunni tölvuþrjótanna leiddi í ljós að Nobelium tölvuþrjótarnir eru grunaðir um að hafa fengið aðstoð frá landi. Þetta er líklega Rússland.
Nobelium er best þekktur fyrir háþróaða tækni, tækni og verklag, einnig þekkt sem TTP. Í stað þess að ráðast á fórnarlömb sín eitt af öðru, kjósa þeir að velja eitt fyrirtæki sem þjónar mörgum viðskiptavinum. Með innbroti á síðarnefnda fyrirtækið leita tölvuþrjótarnir að eins konar „aðallykli“ sem síðan einfaldlega „opnar“ dyr fyrir viðskiptavini.
Research Mandiant
Rannsóknir Mandiant sýna að Nobelium, og tölvuþrjótahóparnir tveir UNC3004 og UNC2652 sem eru hluti af þessari tölvuþrjótasamsteypu, hafa fullkomnað TTP starfsemi sína enn frekar. Sérstaklega fyrir árásir á cloud framleiðendur og MSP til að ná til enn fleiri fyrirtækja.
Ný tækni tölvuþrjótanna er notkun á skilríkjum sem fengin eru með spilliforritaherferðum annarra tölvuþrjóta. Með þessu leituðu Nobelium tölvuþrjótarnir eftir fyrsta aðgangi að fórnarlömbum. Tölvuþrjótarnir notuðu einnig reikninga með forréttindi til að herma eftir forritum til að „uppskera“ viðkvæm tölvupóstsgögn. Tölvuþrjótarnir notuðu einnig bæði IP umboðsþjónustu fyrir neytendur og nýja staðbundna innviði til að eiga samskipti við fórnarlömb.
Önnur tækni
Þeir notuðu einnig nýja TTP getu til að komast framhjá öryggistakmörkunum í ýmsum umhverfi, þar á meðal sýndarvélum, til að ákvarða innri leiðarstillingar. Annað tól sem notað var var nýja CEELOADER niðurhalarinn. Tölvuþrjótunum tókst meira að segja að komast inn í virkar möppur af Microsoft Azure reikningum og stela „aðallyklum“ sem veita aðgang að möppum viðskiptavina viðkomandi aðila. Að lokum tókst tölvuþrjótunum að misnota fjölþátta auðkenningu með því að nota ýtt tilkynningar á snjallsímum.
Rannsakendur Mandiant tóku eftir því að tölvuþrjótarnir höfðu aðallega áhuga á gögnum sem voru mikilvæg fyrir Rússland. Að auki var í sumum tilfellum stolið gögnum sem tölvuþrjótarnir þurftu að gefa nýjan aðgang til að ráðast á önnur fórnarlömb.
Nóbelíum viðvarandi vandamál
Niðurstaða skýrslunnar er að árásir Nobelium muni ekki hætta í bráð. Samkvæmt rannsakendum halda tölvuþrjótarnir áfram að bæta árásartækni sína og færni til að vera lengur innan netkerfa fórnarlambanna, forðast uppgötvun og torvelda endurheimtaraðgerðir.