Nobelium-ს, ჯგუფს, რომელიც დგას SolarWinds-ის თავდასხმის უკან, ჯერ კიდევ აქვს მოწინავე ჰაკერული შესაძლებლობების დიდი არსენალი. ეს არის მანდიანტის უსაფრთხოების სპეციალისტების ბოლო კვლევა. ამ -ალბათ სახელმწიფოს მიერ მხარდაჭერილი- ჰაკერების საფრთხე ჯერ არ გასულა.
ერთი წლის წინ ნობელიუმის ჰაკერებმა მოახერხეს უსაფრთხოების ამერიკელი სპეციალისტი SolarWinds-ის გატეხვა. შემდგომში, ამ უსაფრთხოების სპეციალისტის ბევრი მომხმარებელი გატეხეს, დაახლოებით 18,000, მათ შორის Microsoft და ასევე აშშ-ს მთავრობა. ეს მთელი თავისი შედეგებით.
ჰაკერების ფონზე შემდგომმა გამოძიებამ აჩვენა, რომ ნობელიუმის ჰაკერები ეჭვმიტანილია ქვეყნიდან დახმარების მიღებაში. ეს ალბათ რუსეთია.
ნობელიუმი ცნობილია თავისი მოწინავე ტაქტიკით, ტექნიკითა და პროცედურებით, ასევე ცნობილი როგორც TTP. მსხვერპლზე სათითაოდ თავდასხმის ნაცვლად, მათ ურჩევნიათ აირჩიონ ერთი კომპანია, რომელიც ემსახურება მრავალ მომხმარებელს. ამ უკანასკნელის კომპანიის ჰაკერების მეშვეობით, ჰაკერები ეძებენ ერთგვარ „მასტერ გასაღებს“, რომელიც შემდეგ უბრალოდ „აღებს“ კარებს კლიენტებისთვის.
კვლევის მანდიანტი
Mandiant-ის კვლევამ აჩვენა, რომ Nobelium-მა და ჰაკერების ორმა ჯგუფმა UNC3004 და UNC2652, რომლებიც ამ ჰაკერული კონგლომერატის ნაწილია, კიდევ უფრო გააუმჯობესეს თავიანთი TTP საქმიანობა. განსაკუთრებით თავდასხმებისთვის cloud მოვაჭრეები და MSP-ები კიდევ უფრო მეტ ბიზნესს მიაღწევენ.
ჰაკერების ახალი ტექნიკა არის რწმუნებათა სიგელების გამოყენება, რომელიც მიღებულია სხვა ჰაკერების მავნე პროგრამების კამპანიების მეშვეობით. ამით ნობელიუმის ჰაკერები ცდილობდნენ პირველ წვდომას მსხვერპლზე. ჰაკერებმა ასევე გამოიყენეს ანგარიშები Application Impersonation-ის პრივილეგიებით ელ.ფოსტის სენსიტიური მონაცემების „მოსაღებად“. ჰაკერებმა ასევე გამოიყენეს როგორც IP მარიონეტული სერვისები მომხმარებლებისთვის, ასევე ახალი ადგილობრივი ინფრასტრუქტურა დაზარალებულ მსხვერპლებთან კომუნიკაციისთვის.
სხვა ტექნიკა
მათ ასევე გამოიყენეს ახალი TTP შესაძლებლობები უსაფრთხოების შეზღუდვების გვერდის ავლით სხვადასხვა გარემოში, მათ შორის ვირტუალურ მანქანებში, შიდა მარშრუტიზაციის კონფიგურაციის დასადგენად. გამოყენებული სხვა ინსტრუმენტი იყო ახალი CEELOADER ჩამოტვირთავი. ჰაკერებმა შეაღწიეს Microsoft Azure ანგარიშების აქტიურ დირექტორიაში და მოიპარეს „მასტერ გასაღებები“, რომლებიც წვდომას აძლევენ დაზარალებული მხარის კლიენტების დირექტორიას. საბოლოოდ, ჰაკერებმა მოახერხეს მრავალფაქტორიანი ავტორიზაციის ბოროტად გამოყენება სმარტფონებზე Push-შეტყობინებების გამოყენებით.
Mandiant-ის მკვლევარებმა შენიშნეს, რომ ჰაკერები ძირითადად დაინტერესებული იყვნენ რუსეთისთვის მნიშვნელოვანი მონაცემებით. გარდა ამისა, ზოგიერთ შემთხვევაში მოიპარეს მონაცემები იმის შესახებ, რომ ჰაკერებს ახალი შესასვლელი უნდა მიეღოთ სხვა მსხვერპლზე თავდასხმისთვის.
ნობელიუმის მუდმივი პრობლემა
მოხსენებაში ნათქვამია, რომ ნობელიუმის თავდასხმები მალე არ შეჩერდება. მკვლევარების აზრით, ჰაკერები განაგრძობენ თავდასხმის ტექნიკისა და უნარების გაუმჯობესებას, რათა უფრო დიდხანს დარჩნენ მსხვერპლთა ქსელებში, თავიდან აიცილონ გამოვლენა და გააფუჭონ აღდგენის ოპერაციები.