SolarWinds uzbrukuma grupai Nobelium joprojām ir pieejams liels uzlaboto hakeru iespēju arsenāls. Tā nesenā pētījumā secinājuši Mandiant drošības speciālisti. Šo, iespējams, valsts atbalstīto hakeru briesmas vēl nav beigušās.
Pirms gada Nobelium hakeriem izdevās uzlauzt amerikāņu drošības speciālistu SolarWinds. Pēc tam tika uzlauzti daudzi šī drošības speciālista klienti, aptuveni 18,000 XNUMX, tostarp Microsoft un arī ASV valdība. Tas ar visām no tā izrietošajām sekām.
Turpinot izmeklēšanu par hakeru fona, atklājās, ka Nobelium hakeri tiek turēti aizdomās par palīdzības saņemšanu no kādas valsts. Tā laikam ir Krievija.
Nobelium ir vislabāk pazīstams ar savu progresīvo taktiku, paņēmieniem un procedūrām, kas pazīstamas arī kā TTP. Tā vietā, lai uzbruktu saviem upuriem pa vienam, viņi izvēlas vienu uzņēmumu, kas apkalpo vairākus klientus. Izmantojot pēdējo uzņēmumu, hakeri meklē sava veida “galveno atslēgu”, kas pēc tam vienkārši “atver” durvis klientiem.
Pētījums Mandiant
Mandiant pētījumi liecina, ka Nobelium un divas hakeru grupas UNC3004 un UNC2652, kas ir daļa no šī hakeru konglomerāta, ir vēl vairāk pilnveidojušas savas TTP aktivitātes. Īpaši attiecībā uz uzbrukumiem pret cloud pārdevējiem un MSP, lai sasniegtu vēl vairāk uzņēmumu.
Jaunas hakeru metodes ir tādu akreditācijas datu izmantošana, kas iegūti citu hakeru informācijas nozagšanas ļaunprātīgas programmatūras kampaņās. Ar to Nobelium hakeri meklēja pirmo piekļuvi upuriem. Hakeri izmantoja arī kontus ar lietojumprogrammas uzdošanās privilēģijām, lai “iegūtu” sensitīvus e-pasta datus. Hakeri arī izmantoja gan IP starpniekservera pakalpojumus patērētājiem, gan jaunu vietējo infrastruktūru, lai sazinātos ar cietušajiem.
Citas tehnikas
Viņi arī izmantoja jaunas TTP iespējas, lai apietu drošības ierobežojumus dažādās vidēs, tostarp virtuālajās mašīnās, lai noteiktu iekšējās maršrutēšanas konfigurācijas. Vēl viens izmantotais rīks bija jaunais CEELOADER lejupielādētājs. Hakeriem pat izdevās iekļūt aktīvos Microsoft Azure kontu direktorijos un nozagt “galvenās atslēgas”, kas nodrošina piekļuvi ietekmētās puses klientu direktorijiem. Visbeidzot, hakeriem izdevās ļaunprātīgi izmantot vairāku faktoru autentifikāciju, izmantojot viedtālruņu push paziņojumus.
Mandiant pētnieki pamanīja, ka hakerus galvenokārt interesēja Krievijai svarīgi dati. Turklāt dažos gadījumos tika nozagti dati, ka hakeriem bija jādod jaunas ieejas, lai uzbruktu citiem upuriem.
Nobēlija pastāvīga problēma
Ziņojumā secināts, ka Nobelija uzbrukumi tuvākajā laikā neapstāsies. Pēc pētnieku domām, hakeri turpina uzlabot savas uzbrukuma metodes un prasmes, lai ilgāk paliktu upuru tīklos, izvairītos no atklāšanas un izjauktu atkopšanas darbības.