Nobelium, d'Grupp hannert der SolarWinds Attack, huet nach ëmmer e grousst Arsenal vu fortgeschratt Hacking-Fäegkeeten zur Verfügung. Dëst ass d'Konklusioun vun de Sécherheetsspezialisten vum Mandiant an enger rezenter Etude. D'Gefor vun dësen -wahrscheinlech staatlech-gestützte- Hacker ass nach net eriwwer.
Virun engem Joer hunn d'Nobelium Hacker et fäerdeg bruecht den amerikanesche Sécherheetsspezialist SolarWinds ze hacken. Duerno goufen vill Clientë vun dësem Sécherheetsspezialist gehackt, ongeféier 18,000, dorënner Microsoft an och d'US Regierung. Dëst mat all senge Konsequenzen.
Weider Enquête iwwert den Hannergrond vun den Hacker huet opgedeckt datt d'Nobelium Hacker verdächtegt sinn Hëllef vun engem Land ze kréien. Dëst ass wahrscheinlech Russland.
Nobelium ass am Beschten bekannt fir seng fortgeschratt Taktiken, Techniken a Prozeduren, och bekannt als TTP. Amplaz hir Affer een nom aneren ze attackéieren, si se léiwer eng Firma ze wielen déi verschidde Clienten servéiert. Duerch en Hack op déi lescht Firma sichen d'Hacker no enger Aart "Masterschlëssel", deen dann einfach d'Dieren fir d'Clientë 'opmaacht'.
Fuerschung Mandiant
Dem Mandiant seng Fuerschung weist datt Nobelium, an déi zwee Hackergruppen UNC3004 an UNC2652, déi Deel vun dësem Hackingkonglomerat sinn, hir TTP Aktivitéite weider perfektionéiert hunn. Besonnesch fir Attacken op cloud Ubidder an MSPs fir nach méi Geschäfter z'erreechen.
Nei Technike vun den Hacker sinn d'Benotzung vun Umeldungsinformatiounen, déi duerch Info-Stealer Malware Kampagnen vun aneren Hacker kritt ginn. Domat hunn d'Nobelium-Hacker den éischten Zougang zu Affer gesicht. D'Hacker hunn och Konte mat Applikatioun Impersonatioun Privilegien benotzt fir sensibel E-Maildaten ze "Ernte". D'Hacker hunn och souwuel IP Proxy Servicer fir Konsumenten an nei lokal Infrastruktur benotzt fir mat betroffenen Affer ze kommunizéieren.
Aner Techniken
Si hunn och nei TTP Fäegkeeten benotzt fir Sécherheetsbeschränkungen a verschiddenen Ëmfeld z'iwwergoen, dorënner virtuelle Maschinnen, fir intern Routingkonfiguratiounen ze bestëmmen. En anert Tool dat benotzt gouf war den neien CEELOADER Downloader. D'Hacker hunn et souguer fäerdeg bruecht aktiv Verzeichnisser vu Microsoft Azure Konten z'erreechen an 'Masterschlësselen' ze klauen, déi Zougang zu Verzeichnisser vu Cliente vun enger betroffener Partei ginn. Schlussendlech hunn d'Hacker et fäerdeg bruecht Multi-Faktor Authentifikatioun ze mëssbrauchen mat Push Notifikatiounen op Smartphones.
D'Mandiant Fuerscher hunn gemierkt datt d'Hacker haaptsächlech un Daten interesséiert waren, déi fir Russland wichteg waren. Ausserdeem goufen an e puer Fäll Donnéeë geklaut, datt d'Hacker nei Entréeën hu misse ginn, fir aner Affer ze attackéieren.
Nobelium persistent Problem
De Bericht schléisst datt d'Attacke vum Nobelium net geschwënn ophalen. Laut de Fuerscher, d'Hacker weider hir Attacketechniken a Fäegkeeten ze verbesseren fir méi laang an den Netzwierker vun den Affer ze bleiwen, Detektioun ze vermeiden an Erhuelungsoperatiounen ze frustréieren.