Nobelium, il gruppo dietro l'attacco SolarWinds, ha ancora a sua disposizione un ampio arsenale di capacità avanzate di hacking. Questa è la conclusione degli specialisti della sicurezza di Mandiant in un recente studio. Il pericolo di questi hacker -probabilmente sostenuti dallo stato- non è ancora passato.
Un anno fa, gli hacker del Nobelium sono riusciti a hackerare lo specialista di sicurezza americano SolarWinds. Successivamente, molti clienti di questo specialista della sicurezza sono stati violati, circa 18,000, tra cui Microsoft e anche il governo degli Stati Uniti. Questo con tutte le sue conseguenze.
Ulteriori indagini sul retroscena degli hacker hanno rivelato che gli hacker del Nobelium sono sospettati di aver ricevuto aiuti da un paese. Questa è probabilmente la Russia.
Il Nobelium è noto soprattutto per le sue tattiche, tecniche e procedure avanzate, note anche come TTP. Invece di attaccare le loro vittime una per una, preferiscono scegliere un'azienda che serve più clienti. Tramite un hack su quest'ultima società, gli hacker cercano una sorta di "chiave principale" che poi semplicemente "apri" le porte ai clienti.
Mandante di ricerca
La ricerca di Mandiant mostra che Nobelium e i due gruppi di hacker UNC3004 e UNC2652 che fanno parte di questo conglomerato di hacking hanno ulteriormente perfezionato le loro attività TTP. Soprattutto per gli attacchi cloud fornitori e MSP per raggiungere ancora più aziende.
Nuove tecniche degli hacker sono l'uso di credenziali ottenute attraverso campagne di malware di info-stealer di altri hacker. Con questo, gli hacker del Nobelium hanno cercato il primo accesso alle vittime. Gli hacker hanno anche utilizzato account con privilegi di rappresentazione dell'applicazione per "raccogliere" dati di posta elettronica sensibili. Gli hacker hanno anche utilizzato sia i servizi proxy IP per i consumatori che la nuova infrastruttura locale per comunicare con le vittime colpite.
Altre tecniche
Hanno inoltre utilizzato nuove funzionalità TTP per aggirare le restrizioni di sicurezza in vari ambienti, comprese le macchine virtuali, per determinare le configurazioni di routing interne. Un altro strumento utilizzato è stato il nuovo downloader CEELOODER. Gli hacker sono persino riusciti a penetrare nelle directory attive degli account Microsoft Azure e rubare le "chiavi principali" che danno accesso alle directory dei clienti di una parte interessata. Infine, gli hacker sono riusciti ad abusare dell'autenticazione a più fattori utilizzando le notifiche push sugli smartphone.
I ricercatori di Mandiant hanno notato che gli hacker erano principalmente interessati ai dati importanti per la Russia. Inoltre, in alcuni casi sono stati sottratti dati che gli hacker hanno dovuto dare nuovi ingressi per attaccare altre vittime.
Problema persistente del Nobelio
Il rapporto conclude che gli attacchi di Nobelium non si fermeranno presto. Secondo i ricercatori, gli hacker continuano a migliorare le proprie tecniche e abilità di attacco per rimanere più a lungo all'interno delle reti delle vittime, evitare il rilevamento e vanificare le operazioni di recupero.