Nobelium, kumpulan di sebalik serangan SolarWinds, masih mempunyai senjata besar keupayaan penggodaman canggih yang boleh digunakan. Ini adalah kesimpulan pakar keselamatan Mandiant dalam kajian baru-baru ini. Bahaya penggodam -mungkin disokong kerajaan- ini belum berlalu.
Setahun yang lalu, penggodam Nobelium berjaya menggodam pakar keselamatan Amerika SolarWinds. Selepas itu, ramai pelanggan pakar keselamatan ini telah digodam, kira-kira 18,000, termasuk Microsoft dan juga kerajaan AS. Ini dengan segala akibatnya.
Siasatan lanjut mengenai latar belakang penggodam mendedahkan bahawa penggodam Nobelium disyaki menerima bantuan daripada sebuah negara. Ini mungkin Rusia.
Nobelium terkenal dengan taktik, teknik dan prosedur lanjutannya, juga dikenali sebagai TTP. Daripada menyerang mangsa mereka satu demi satu, mereka lebih suka memilih satu syarikat yang melayani berbilang pelanggan. Melalui penggodaman pada syarikat terakhir, penggodam mencari sejenis 'kunci induk' yang kemudiannya hanya 'membuka' pintu kepada pelanggan.
Penyelidikan Mandiant
Penyelidikan Mandiant menunjukkan bahawa Nobelium, dan dua kumpulan penggodam UNC3004 dan UNC2652 yang merupakan sebahagian daripada konglomerat penggodaman ini, telah menyempurnakan lagi aktiviti TTP mereka. Terutama untuk serangan ke atas cloud vendor dan MSP untuk mencapai lebih banyak perniagaan.
Teknik baru penggodam adalah penggunaan kelayakan yang diperoleh melalui kempen malware pencuri maklumat penggodam lain. Dengan ini, penggodam Nobelium mencari akses pertama kepada mangsa. Penggodam juga menggunakan akaun dengan keistimewaan Penyamaran Aplikasi untuk "mengambil" data e-mel sensitif. Penggodam juga menggunakan kedua-dua perkhidmatan proksi IP untuk pengguna dan infrastruktur tempatan baharu untuk berkomunikasi dengan mangsa yang terjejas.
Teknik lain
Mereka juga menggunakan keupayaan TTP baharu untuk memintas sekatan keselamatan dalam pelbagai persekitaran, termasuk mesin maya, untuk menentukan konfigurasi penghalaan dalaman. Alat lain yang digunakan ialah pemuat turun CEELOADER baharu. Penggodam malah berjaya menembusi direktori aktif akaun Microsoft Azure dan mencuri 'kunci induk' yang memberikan akses kepada direktori pelanggan pihak yang terjejas. Akhirnya, penggodam berjaya menyalahgunakan pengesahan berbilang faktor menggunakan pemberitahuan tolak pada telefon pintar.
Penyelidik Mandiant menyedari bahawa penggodam terutamanya berminat dengan data yang penting kepada Rusia. Di samping itu, dalam beberapa kes data telah dicuri bahawa penggodam terpaksa memberi laluan masuk baru untuk menyerang mangsa lain.
Masalah berterusan Nobelium
Laporan itu menyimpulkan bahawa serangan Nobelium tidak akan berhenti dalam masa terdekat. Menurut penyelidik, penggodam terus meningkatkan teknik dan kemahiran serangan mereka untuk kekal lebih lama dalam rangkaian mangsa, mengelakkan pengesanan dan menggagalkan operasi pemulihan.