Nobelium, SolarWinds шабуылының артында тұрған топ әлі де озық хакерлік мүмкіндіктердің үлкен арсеналына ие. Мандианттың қауіпсіздік мамандары жақында жүргізген зерттеуінде осындай қорытындыға келген. Бұл, бәлкім, мемлекет қолдайтын хакерлердің қаупі әлі өткен жоқ.
Бір жыл бұрын Nobelium хакерлері американдық қауіпсіздік маманы SolarWinds-ті бұзып үлгерді. Кейіннен осы қауіпсіздік маманының көптеген тұтынушылары бұзылды, шамамен 18,000 XNUMX, соның ішінде Microsoft және АҚШ үкіметі. Бұл оның барлық салдарымен.
Хакерлердің арғы жағындағы қосымша тергеу Nobelium хакерлеріне бір елден көмек алды деген күдік бар екені анықталды. Бұл Ресей болса керек.
Нобелий TTP деп те аталатын озық тактикасы, әдістері мен процедураларымен танымал. Құрбандарына бір-бірлеп шабуыл жасаудың орнына, олар бірнеше тұтынушыларға қызмет көрсететін бір компанияны таңдағанды жөн көреді. Соңғы компанияны бұзу арқылы хакерлер тұтынушыларға есіктерді жай ғана «ашатын» «бас кілттің» түрін іздейді.
Зерттеу мандианты
Мандианттың зерттеулері көрсеткендей, Nobelium және осы хакерлік конгломераттың бөлігі болып табылатын UNC3004 және UNC2652 екі хакерлер тобы өздерінің TTP қызметін одан әрі жетілдірді. Әсіресе шабуылдар үшін cloud жеткізушілер мен MSP-тер одан да көп бизнеске қол жеткізуге мүмкіндік береді.
Хакерлердің жаңа әдістері басқа хакерлердің ақпаратты ұрлаушы зиянды бағдарламалар науқандары арқылы алынған тіркелгі деректерін пайдалану болып табылады. Осы арқылы Nobelium хакерлері құрбандарға бірінші рет қол жеткізуге тырысты. Хакерлер сонымен қатар құпия электрондық пошта деректерін «жинау» үшін Қолданбаға еліктеу артықшылықтары бар тіркелгілерді пайдаланды. Хакерлер сонымен қатар тұтынушыларға арналған IP прокси қызметтерін де, зардап шеккен құрбандармен байланысу үшін жаңа жергілікті инфрақұрылымды да пайдаланды.
Басқа техникалар
Олар сонымен қатар ішкі маршруттау конфигурацияларын анықтау үшін әртүрлі орталардағы, соның ішінде виртуалды машиналардағы қауіпсіздік шектеулерін айналып өту үшін жаңа TTP мүмкіндіктерін пайдаланды. Қолданылған басқа құрал жаңа CEELOADER жүктеушісі болды. Хакерлер тіпті Microsoft Azure тіркелгілерінің белсенді каталогтарына еніп, зардап шеккен тараптың тұтынушыларының каталогтарына кіруге мүмкіндік беретін «бас кілттерді» ұрлап үлгерді. Ақырында, хакерлер смартфондардағы push-хабарландыруларды пайдалана отырып, көп факторлы аутентификацияны теріс пайдалана алды.
Mandiant зерттеушілері хакерлерді негізінен Ресей үшін маңызды деректер қызықтыратынын байқады. Сонымен қатар, кейбір жағдайларда хакерлерге басқа құрбандарға шабуыл жасау үшін жаңа кірулер беруге тура келетін деректер ұрланды.
Нобелияның тұрақты мәселесі
Баяндама Нобелияның шабуылдары жақын арада тоқтамайды деген қорытындыға келеді. Зерттеушілердің пікірінше, хакерлер құрбандардың желілерінде ұзағырақ болу, анықтаудан аулақ болу және қалпына келтіру операцияларын тоқтату үшін шабуылдау әдістері мен дағдыларын жетілдіруді жалғастыруда.