SolarWinds-ийн халдлагын ард байгаа Nobelium бүлэгт хакердах дэвшилтэт боломжуудын арсенал байсаар байна. Мандиант компанийн аюулгүй байдлын мэргэжилтнүүд саяхан хийсэн судалгаагаар ийм дүгнэлтэд хүрсэн байна. Эдгээр - магадгүй төрийн дэмжлэгтэй хакеруудын аюул хараахан арилаагүй байна.
Жилийн өмнө Нобелийн хакерууд Америкийн аюулгүй байдлын мэргэжилтэн SolarWinds-д нэвтэрч чадсан. Үүний дараагаар энэхүү аюулгүй байдлын мэргэжилтний олон үйлчлүүлэгчид хакерджээ, тухайлбал Microsoft болон АНУ-ын засгийн газар зэрэг 18,000 орчим хүн. Энэ нь бүх үр дагавартай.
Хакеруудын цаад санааг цаашид судлахад Нобелийн хакеруудыг аль нэг улсаас тусламж авсан байж болзошгүй гэж сэжиглэж байгаа нь тогтоогджээ. Энэ нь магадгүй Орос юм.
Нобелиум нь TTP гэгддэг дэвшилтэт тактик, техник, процедураараа алдартай. Хохирогчдоо нэг нэгээр нь дайрахын оронд олон хэрэглэгчдэд үйлчилдэг нэг компанийг сонгохыг илүүд үздэг. Сүүлчийн компанийг хакердах замаар хакерууд нэг төрлийн "мастер түлхүүр" хайж, дараа нь үйлчлүүлэгчдэд хаалгыг нь "нээдэг".
Судалгааны Мандиант
Mandiant-ийн судалгаагаар энэхүү хакерын конгломератад багтдаг Nobelium болон UNC3004 болон UNC2652 хоёр хакерын бүлэг TTP үйл ажиллагаагаа улам боловсронгуй болгосон болохыг харуулж байна. Ялангуяа дайралтын хувьд cloud илүү олон бизнест хүрэхийн тулд борлуулагчид болон MSP.
Хакеруудын шинэ арга бол бусад хакеруудын мэдээлэл хулгайлагч хортой программ кампанит ажлын үр дүнд олж авсан итгэмжлэлүүдийг ашиглах явдал юм. Үүгээр Нобелийн хакерууд хохирогчдод анхны нэвтрэх боломжийг эрэлхийлэв. Хакерууд мөн Аппликэйшн дүр эсгэх эрхтэй акаунтуудыг ашиглан цахим шуудангийн нууц мэдээллийг цуглуулсан. Хакерууд мөн хэрэглэгчдэд зориулсан IP прокси үйлчилгээ болон өртсөн хохирогчидтой харилцахын тулд орон нутгийн шинэ дэд бүтцийг хоёуланг нь ашигласан.
Бусад техник
Тэд мөн дотоод чиглүүлэлтийн тохиргоог тодорхойлохын тулд виртуал машин зэрэг янз бүрийн орчин дахь аюулгүй байдлын хязгаарлалтыг даван туулах шинэ TTP боломжуудыг ашигласан. Ашигласан өөр нэг хэрэгсэл бол шинэ CEELOADER татагч байсан. Хакерууд Microsoft Azure дансны идэвхтэй лавлах руу нэвтэрч, нөлөөлөлд өртсөн талын үйлчлүүлэгчдийн лавлах руу нэвтрэх боломжийг олгодог "мастер түлхүүр"-ийг хулгайлж чаджээ. Эцэст нь хакерууд ухаалаг утсан дээрх push мэдэгдлийг ашиглан олон хүчин зүйлийн баталгаажуулалтыг урвуулан ашиглаж чаджээ.
Мандиантын судлаачид хакерууд голчлон Орос улсад чухал ач холбогдолтой мэдээллийг сонирхож байгааг анзаарчээ. Нэмж дурдахад зарим тохиолдолд хакерууд бусад хохирогчдыг довтлохын тулд шинэ хаалга өгөх ёстой гэсэн мэдээллийг хулгайлсан байна.
Нобелийн байнгын асуудал
Нобелийн дайралт ойрын үед зогсохгүй гэж тайланд дүгнэжээ. Судлаачдын үзэж байгаагаар хакерууд хохирогчдын сүлжээнд удаан байж, илрүүлэхээс зайлсхийж, сэргээх үйл ажиллагаанд саад учруулахын тулд халдлагын арга техник, ур чадвараа сайжруулсаар байна.