Nobelium, de groep achter de SolarWinds-aanval, beschikt nog steeds over een groot arsenaal aan geavanceerde hackmogelijkheden. Dat concluderen de beveiligingsspecialisten van Mandiant in een recent onderzoek. Het gevaar van deze -waarschijnlijk door de staat gesteunde- hackers is nog niet geweken.
Een jaar geleden wisten de Nobelium-hackers de Amerikaanse beveiligingsspecialist SolarWinds te hacken. Vervolgens werden veel klanten van deze beveiligingsspecialist gehackt, zo'n 18,000, waaronder Microsoft en ook de Amerikaanse overheid. Dit met alle gevolgen van dien.
Nader onderzoek naar de achtergrond van de hackers bracht aan het licht dat de Nobelium-hackers worden verdacht van het ontvangen van hulp uit een land. Dit is waarschijnlijk Rusland.
Nobelium is vooral bekend om zijn geavanceerde tactieken, technieken en procedures, ook wel TTP genoemd. In plaats van hun slachtoffers één voor één aan te vallen, kiezen ze liever één bedrijf dat meerdere klanten bedient. Via een hack op laatstgenoemd bedrijf gaan de hackers op zoek naar een soort 'master key' die vervolgens eenvoudig de deuren 'opent' voor de klanten.
Onderzoeksmandaat
Uit het onderzoek van Mandiant blijkt dat Nobelium, en de twee hackergroepen UNC3004 en UNC2652 die deel uitmaken van dit hackconglomeraat, hun TTP-activiteiten verder hebben geperfectioneerd. Speciaal voor aanvallen op cloud leveranciers en MSP's om nog meer bedrijven te bereiken.
Nieuwe technieken van de hackers zijn het gebruik van inloggegevens die zijn verkregen via info-stealer-malwarecampagnes van andere hackers. Hiermee zochten de Nobelium-hackers de eerste toegang tot slachtoffers. De hackers gebruikten ook accounts met privileges voor imitatie van toepassingen om gevoelige e-mailgegevens te "oogsten". De hackers gebruikten ook zowel IP-proxydiensten voor consumenten als nieuwe lokale infrastructuur om met getroffen slachtoffers te communiceren.
Andere technieken
Ze gebruikten ook nieuwe TTP-mogelijkheden voor het omzeilen van beveiligingsbeperkingen in verschillende omgevingen, waaronder virtuele machines, om interne routeringsconfiguraties te bepalen. Een ander hulpmiddel dat werd gebruikt, was de nieuwe CEELOADER-downloader. De hackers wisten zelfs actieve mappen van Microsoft Azure-accounts binnen te dringen en 'hoofdsleutels' te stelen die toegang geven tot mappen van klanten van een getroffen partij. Ten slotte slaagden de hackers erin om multi-factor authenticatie te misbruiken door middel van push-notificaties op smartphones.
De onderzoekers van Mandiant merkten dat de hackers vooral geïnteresseerd waren in data die belangrijk waren voor Rusland. Daarnaast werden in sommige gevallen gegevens gestolen die de hackers nieuwe ingangen moesten geven om andere slachtoffers aan te vallen.
Nobelium hardnekkig probleem
Het rapport concludeert dat de aanvallen van Nobelium niet snel zullen stoppen. Volgens de onderzoekers blijven de hackers hun aanvalstechnieken en vaardigheden verbeteren om langer binnen de netwerken van slachtoffers te blijven, detectie te voorkomen en hersteloperaties te frustreren.