„Nobelium“, „SolarWinds“ atakos grupuotė, vis dar turi didelį pažangių įsilaužimo galimybių arsenalą. Tokią išvadą padarė „Mandiant“ saugumo specialistai neseniai atlikę tyrimą. Šių tikriausiai valstybės remiamų įsilaužėlių pavojus dar nepraėjo.
Prieš metus „Nobelium“ įsilaužėliams pavyko įsilaužti į amerikiečių saugumo specialistą „SolarWinds“. Vėliau buvo įsilaužta į daugelį šio saugos specialisto klientų, apie 18,000 XNUMX, įskaitant „Microsoft“ ir JAV vyriausybę. Tai su visomis to pasekmėmis.
Tolesnis įsilaužėlių fono tyrimas atskleidė, kad Nobelium įsilaužėliai įtariami gavę pagalbą iš šalies. Tai tikriausiai Rusija.
Nobelijus geriausiai žinomas dėl savo pažangios taktikos, metodų ir procedūrų, dar žinomų kaip TTP. Užuot puldinėję po vieną savo aukas, jie mieliau renkasi vieną įmonę, kuri aptarnauja kelis klientus. Įsilaužę į pastarąją įmonę, įsilaužėliai ieško savotiško „pagrindinio rakto“, kuris vėliau tiesiog „atveria“ duris klientams.
Tyrimas Mandiant
„Mandiant“ tyrimai rodo, kad „Nobelium“ ir dvi įsilaužėlių grupės UNC3004 ir UNC2652, kurios yra šio įsilaužimo konglomerato dalis, toliau tobulino savo TTP veiklą. Ypač atakoms prieš cloud pardavėjai ir MPT, kad pasiektų dar daugiau įmonių.
Nauji įsilaužėlių metodai yra kredencialų, gautų per kitų įsilaužėlių informacijos vagysčių kenkėjiškų programų kampanijas, naudojimas. Taip Nobelio įsilaužėliai siekė pirmosios prieigos prie aukų. Įsilaužėliai taip pat naudojo paskyras, turinčias apsimetinėjimo privilegijas, kad „rinktų“ slaptus el. pašto duomenis. Įsilaužėliai taip pat naudojo IP tarpinio serverio paslaugas vartotojams ir naują vietinę infrastruktūrą, kad galėtų bendrauti su nukentėjusiomis aukomis.
Kiti būdai
Jie taip pat naudojo naujas TTP galimybes apeiti saugos apribojimus įvairiose aplinkose, įskaitant virtualias mašinas, kad nustatytų vidines maršruto konfigūracijas. Kitas naudojamas įrankis buvo naujasis CEELOADER atsisiuntimo įrankis. Įsilaužėliams netgi pavyko įsiskverbti į aktyvius „Microsoft Azure“ paskyrų katalogus ir pavogti „pagrindinius raktus“, suteikiančius prieigą prie paveiktos šalies klientų katalogų. Galiausiai įsilaužėliams pavyko piktnaudžiauti kelių veiksnių autentifikavimu, naudojant išmaniųjų telefonų tiesioginius pranešimus.
Mandiant tyrinėtojai pastebėjo, kad programišius daugiausia domino Rusijai svarbūs duomenys. Be to, kai kuriais atvejais buvo pavogti duomenys, kad įsilaužėliai turėjo suteikti naujus įėjimus, kad užpultų kitas aukas.
Nuolatinė Nobelio problema
Ataskaitoje daroma išvada, kad Nobeliumo atakos greitai nesiliaus. Tyrėjų teigimu, įsilaužėliai ir toliau tobulina savo atakų metodus ir įgūdžius, kad galėtų ilgiau likti aukų tinkluose, išvengti aptikimo ir sužlugdyti atkūrimo operacijas.