Nobelium, klompok konco serangan SolarWinds, isih duwe arsenal gedhe kapabilitas hacking majeng ing pembuangan sawijining. Iki minangka kesimpulan saka spesialis keamanan Mandiant ing panaliten anyar. Bebaya peretas iki -mbok menawa didhukung negara- durung liwati.
Setaun kepungkur, peretas Nobelium bisa hack menyang spesialis keamanan Amerika SolarWinds. Sabanjure, akeh pelanggan spesialis keamanan iki disusupi, kira-kira 18,000, kalebu Microsoft lan uga pemerintah AS. Iki kanthi kabeh akibate.
Penyelidikan luwih lanjut babagan latar mburi peretas kasebut nuduhake manawa peretas Nobelium diduga nampa bantuan saka sawijining negara. Iki mbokmenawa Rusia.
Nobelium misuwur amarga taktik, teknik lan prosedur sing luwih maju, uga dikenal minangka TTP. Tinimbang nyerang korban siji-siji, dheweke luwih seneng milih siji perusahaan sing nglayani pirang-pirang pelanggan. Liwat hack ing perusahaan sing terakhir, para peretas nggoleki jinis 'kunci master' sing banjur mung 'mbukak' lawang kanggo para pelanggan.
Riset Mandiant
Panliten Mandiant nuduhake manawa Nobelium, lan rong klompok peretas UNC3004 lan UNC2652 sing dadi bagean saka konglomerat peretasan iki, wis luwih nyempurnakake kegiatan TTP. Utamané kanggo serangan ing cloud vendor lan MSP kanggo nggayuh bisnis luwih akeh.
Teknik anyar para peretas yaiku nggunakake kredensial sing dipikolehi liwat kampanye malware info-stealer saka peretas liyane. Kanthi iki, peretas Nobelium njaluk akses pisanan marang para korban. Peretas uga nggunakake akun kanthi hak istimewa Impersonation Aplikasi kanggo "panen" data email sensitif. Peretas uga nggunakake layanan proxy IP kanggo konsumen lan infrastruktur lokal anyar kanggo komunikasi karo korban sing kena pengaruh.
Techniques liyane
Dheweke uga nggunakake kemampuan TTP anyar kanggo ngliwati watesan keamanan ing macem-macem lingkungan, kalebu mesin virtual, kanggo nemtokake konfigurasi rute internal. Alat liyane sing digunakake yaiku ngundhuh CEELOADER anyar. Peretas malah bisa nembus direktori aktif akun Microsoft Azure lan nyolong 'kunci master' sing menehi akses menyang direktori pelanggan saka pihak sing kena pengaruh. Pungkasan, peretas bisa nyalahake otentikasi multi-faktor nggunakake kabar push ing smartphone.
Peneliti Mandiant ngerteni manawa peretas utamane kasengsem ing data sing penting kanggo Rusia. Kajaba iku, ing sawetara kasus data dicolong sing peretas kudu menehi lawang anyar kanggo nyerang korban liyane.
Masalah terus-terusan Nobelium
Laporan kasebut nyimpulake manawa serangan Nobelium ora bakal mandheg maneh. Miturut peneliti, peretas terus nambah teknik lan katrampilan serangan supaya bisa tetep luwih suwe ing jaringan korban, ngindhari deteksi lan ngganggu operasi pemulihan.