SolarWinds हल्ल्यामागील गट नोबेलियमकडे अजूनही प्रगत हॅकिंग क्षमतांचा मोठा शस्त्रागार आहे. नुकत्याच झालेल्या एका अभ्यासात मँडियंटच्या सुरक्षा तज्ज्ञांनी हा निष्कर्ष काढला आहे. या -कदाचित राज्य-समर्थित- हॅकर्सचा धोका अद्याप टळलेला नाही.
एक वर्षापूर्वी, नोबेलियम हॅकर्सने अमेरिकन सुरक्षा तज्ञ सोलारविंड्स हॅक करण्यात व्यवस्थापित केले. त्यानंतर, मायक्रोसॉफ्ट आणि यूएस सरकारसह सुमारे 18,000 या सुरक्षा तज्ञाच्या अनेक ग्राहकांना हॅक करण्यात आले. हे त्याच्या सर्व परिणामांसह.
हॅकर्सच्या पार्श्वभूमीवर अधिक तपास केला असता असे दिसून आले की नोबेलियम हॅकर्सना एखाद्या देशाकडून मदत मिळाल्याचा संशय आहे. हे बहुधा रशिया आहे.
नोबेलियम हे त्याच्या प्रगत रणनीती, तंत्रे आणि कार्यपद्धतींसाठी प्रसिद्ध आहे, ज्याला TTP म्हणूनही ओळखले जाते. त्यांच्या पीडितांवर एकामागून एक हल्ला करण्याऐवजी, ते एकाधिक ग्राहकांना सेवा देणारी एक कंपनी निवडण्यास प्राधान्य देतात. नंतरच्या कंपनीवर हॅक करून, हॅकर्स एक प्रकारची 'मास्टर की' शोधतात जी नंतर ग्राहकांसाठी फक्त 'दारे उघडते'.
संशोधन मँडियंट
Mandiant च्या संशोधनातून असे दिसून आले आहे की Nobelium, आणि UNC3004 आणि UNC2652 या दोन हॅकर गट जे या हॅकिंग समूहाचा भाग आहेत, त्यांनी त्यांच्या TTP क्रियाकलापांना आणखी परिपूर्ण केले आहे. विशेषत: वरील हल्ल्यांसाठी cloud आणखी व्यवसायांपर्यंत पोहोचण्यासाठी विक्रेते आणि एमएसपी.
हॅकर्सचे नवीन तंत्र म्हणजे इतर हॅकर्सच्या माहिती-चोरी मालवेअर मोहिमेद्वारे मिळालेल्या क्रेडेन्शियल्सचा वापर. यासह, नोबेलियम हॅकर्सने पीडितांपर्यंत प्रथम प्रवेश शोधला. हॅकर्सने संवेदनशील ईमेल डेटाची “कापणी” करण्यासाठी ऍप्लिकेशन तोतयागिरी विशेषाधिकार असलेली खाती देखील वापरली. हॅकर्सनी प्रभावित पीडितांशी संवाद साधण्यासाठी ग्राहकांसाठी आयपी प्रॉक्सी सेवा आणि नवीन स्थानिक पायाभूत सुविधा या दोन्हींचा वापर केला.
इतर तंत्रे
अंतर्गत राउटिंग कॉन्फिगरेशन निर्धारित करण्यासाठी आभासी मशीनसह विविध वातावरणातील सुरक्षा निर्बंधांना बायपास करण्यासाठी त्यांनी नवीन TTP क्षमता देखील वापरल्या. वापरलेले दुसरे साधन नवीन CEELOADER डाउनलोडर होते. हॅकर्स मायक्रोसॉफ्ट अॅझ्युर खात्यांच्या सक्रिय डिरेक्टरीमध्ये प्रवेश करण्यास आणि प्रभावित पक्षाच्या ग्राहकांच्या निर्देशिकांमध्ये प्रवेश देणार्या 'मास्टर की' चोरण्यात यशस्वी झाले. शेवटी, हॅकर्सने स्मार्टफोनवरील पुश नोटिफिकेशन्स वापरून मल्टी-फॅक्टर ऑथेंटिकेशनचा गैरवापर करण्यात व्यवस्थापित केले.
मॅंडियंट संशोधकांच्या लक्षात आले की हॅकर्सना प्रामुख्याने रशियासाठी महत्त्वाच्या असलेल्या डेटामध्ये रस होता. याव्यतिरिक्त, काही प्रकरणांमध्ये डेटा चोरीला गेला की हॅकर्सना इतर पीडितांवर हल्ला करण्यासाठी नवीन प्रवेश द्यावा लागला.
नोबेलियम सतत समस्या
अहवालात असा निष्कर्ष काढण्यात आला आहे की नोबेलियमचे हल्ले लवकरच थांबणार नाहीत. संशोधकांच्या मते, हॅकर्स पीडितांच्या नेटवर्कमध्ये जास्त काळ टिकून राहण्यासाठी, शोध टाळण्यासाठी आणि पुनर्प्राप्ती ऑपरेशनला निराश करण्यासाठी त्यांचे आक्रमण तंत्र आणि कौशल्ये सुधारत राहतात.