Nobelium ដែលជាក្រុមនៅពីក្រោយការវាយប្រហារ SolarWinds នៅតែមានឃ្លាំងអាវុធដ៏ធំនៃសមត្ថភាព hacking កម្រិតខ្ពស់នៅក្នុងការចោលរបស់ខ្លួន។ នេះជាការសន្និដ្ឋានរបស់អ្នកជំនាញផ្នែកសន្តិសុខរបស់ Mandiant ក្នុងការសិក្សាថ្មីៗនេះ។ គ្រោះថ្នាក់នៃពួក Hacker ដែលគាំទ្រដោយរដ្ឋ ប្រហែលជាមិនទាន់ឆ្លងផុតនៅឡើយទេ។
កាលពីមួយឆ្នាំមុន ក្រុមហេគឃ័រ Nobelium បានគ្រប់គ្រងការ hack ទៅកាន់អ្នកឯកទេសសន្តិសុខអាមេរិក SolarWinds ។ ក្រោយមក អតិថិជនជាច្រើនរបស់អ្នកឯកទេសសុវត្ថិភាពនេះត្រូវបានគេលួចចូលប្រហែល 18,000 នាក់ រួមទាំងក្រុមហ៊ុន Microsoft និងរដ្ឋាភិបាលសហរដ្ឋអាមេរិកផងដែរ។ នេះជាមួយនឹងផលវិបាករបស់វា។
ការស៊ើបអង្កេតបន្ថែមទៀតទៅលើសាវតានៃពួក Hacker បានបង្ហាញថាពួក Hacker Nobelium ត្រូវបានគេសង្ស័យថាបានទទួលជំនួយពីប្រទេសមួយ។ នេះប្រហែលជារុស្ស៊ី។
Nobelium ត្រូវបានគេស្គាល់ថាល្អបំផុតសម្រាប់យុទ្ធសាស្ត្រ បច្ចេកទេស និងនីតិវិធីកម្រិតខ្ពស់របស់វា ដែលត្រូវបានគេស្គាល់ថា TTP ។ ជំនួសឱ្យការវាយប្រហារលើជនរងគ្រោះម្តងមួយៗ ពួកគេចូលចិត្តជ្រើសរើសក្រុមហ៊ុនមួយដែលបម្រើអតិថិជនច្រើន។ តាមរយៈការលួចចូលក្រុមហ៊ុនចុងក្រោយនេះ ពួក Hacker ស្វែងរកប្រភេទនៃ 'សោមេ' ដែលបន្ទាប់មកគ្រាន់តែ 'បើក' ទ្វារដល់អតិថិជន។
Mandiant ស្រាវជ្រាវ
ការស្រាវជ្រាវរបស់ Mandiant បង្ហាញថា Nobelium និងក្រុម Hacker ពីរក្រុម UNC3004 និង UNC2652 ដែលជាផ្នែកមួយនៃក្រុម hacking នេះបានធ្វើឱ្យសកម្មភាព TTP របស់ពួកគេកាន់តែល្អឥតខ្ចោះ។ ជាពិសេសសម្រាប់ការវាយប្រហារ cloud អ្នកលក់ និង MSPs ដើម្បីឈានទៅដល់អាជីវកម្មកាន់តែច្រើន។
បច្ចេកទេសថ្មីរបស់ពួក Hacker គឺការប្រើប្រាស់ព័ត៌មានសម្ងាត់ដែលទទួលបានតាមរយៈយុទ្ធនាការ info-stealer malware របស់ពួក Hacker ផ្សេងទៀត។ ជាមួយនេះ ពួក Hacker Nobelium បានស្វែងរកការចូលដំណើរការដំបូងទៅកាន់ជនរងគ្រោះ។ ពួក Hacker ក៏បានប្រើគណនីដែលមានសិទ្ធិក្លែងបន្លំកម្មវិធីដើម្បី "ប្រមូល" ទិន្នន័យអ៊ីមែលរសើប។ ពួក Hacker ក៏បានប្រើប្រាស់ទាំងសេវាប្រូកស៊ី IP សម្រាប់អ្នកប្រើប្រាស់ និងហេដ្ឋារចនាសម្ព័ន្ធក្នុងស្រុកថ្មី ដើម្បីទំនាក់ទំនងជាមួយជនរងគ្រោះដែលរងផលប៉ះពាល់។
បច្ចេកទេសផ្សេងទៀត
ពួកគេក៏បានប្រើសមត្ថភាព TTP ថ្មីសម្រាប់ការរំលងការរឹតបន្តឹងសុវត្ថិភាពនៅក្នុងបរិស្ថានផ្សេងៗ រួមទាំងម៉ាស៊ីននិម្មិត ដើម្បីកំណត់រចនាសម្ព័ន្ធផ្លូវខាងក្នុង។ ឧបករណ៍មួយទៀតដែលប្រើគឺកម្មវិធីទាញយក CEELOADER ថ្មី។ ពួក Hacker ថែមទាំងអាចជ្រៀតចូលថតសកម្មនៃគណនី Microsoft Azure និងលួច 'សោមេ' ដែលផ្តល់សិទ្ធិចូលទៅកាន់ថតរបស់អតិថិជននៃភាគីដែលរងផលប៉ះពាល់។ ទីបំផុត ពួក Hacker បានគ្រប់គ្រងបំពានការផ្ទៀងផ្ទាត់ពហុកត្តា ដោយប្រើការជូនដំណឹងរុញនៅលើស្មាតហ្វូន។
អ្នកស្រាវជ្រាវ Mandiant បានកត់សម្គាល់ថាពួក Hacker ចាប់អារម្មណ៍ជាចម្បងលើទិន្នន័យដែលមានសារៈសំខាន់ចំពោះប្រទេសរុស្ស៊ី។ លើសពីនេះទៀត ក្នុងករណីខ្លះទិន្នន័យត្រូវបានលួច ដែលពួក Hacker ត្រូវផ្តល់ច្រកចូលថ្មីដើម្បីវាយប្រហារជនរងគ្រោះផ្សេងទៀត។
បញ្ហាជាប់លាប់របស់ណូបែល
របាយការណ៍បានសន្និដ្ឋានថា ការវាយប្រហាររបស់ណូបែលនឹងមិនអាចបញ្ឈប់បានក្នុងពេលឆាប់ៗនេះទេ។ យោងតាមក្រុមអ្នកស្រាវជ្រាវ ពួក Hacker បន្តកែលម្អបច្ចេកទេសវាយប្រហារ និងជំនាញរបស់ពួកគេ ដើម្បីស្នាក់នៅបានយូរក្នុងបណ្តាញរបស់ជនរងគ្រោះ ជៀសវាងការរកឃើញ និងធ្វើឱ្យប្រតិបត្តិការស្តារឡើងវិញខកចិត្ត។