Nobelium, grupa stojąca za atakiem SolarWinds, nadal ma do dyspozycji duży arsenał zaawansowanych możliwości hakerskich. Do takiego wniosku doszli specjaliści ds. bezpieczeństwa Mandiant z niedawnego badania. Niebezpieczeństwo ze strony tych – prawdopodobnie wspieranych przez państwo – hakerów jeszcze nie minęło.
Rok temu hakerom Nobelium udało się włamać do amerykańskiego specjalisty ds. bezpieczeństwa SolarWinds. Następnie zhakowano wielu klientów tego specjalisty ds. bezpieczeństwa, około 18,000 XNUMX, w tym Microsoft, a także rząd USA. To ze wszystkimi tego konsekwencjami.
Dalsze dochodzenie w sprawie przeszłości hakerów ujawniło, że hakerzy Nobelium są podejrzani o otrzymywanie pomocy od jakiegoś kraju. To prawdopodobnie Rosja.
Nobelium jest najbardziej znane ze swoich zaawansowanych taktyk, technik i procedur, znanych również jako TTP. Zamiast atakować swoje ofiary jedna po drugiej, wolą wybrać jedną firmę, która obsługuje wielu klientów. Włamując się na tę drugą firmę, hakerzy szukają czegoś w rodzaju „klucza głównego”, który następnie po prostu „otwiera” drzwi klientom.
Mandant badawczy
Badania Mandianta pokazują, że Nobelium oraz dwie grupy hakerów UNC3004 i UNC2652 będące częścią tego konglomeratu hakerskiego jeszcze bardziej udoskonaliły swoje działania TTP. Zwłaszcza w przypadku ataków na cloud dostawców i MSP, aby dotrzeć do jeszcze większej liczby firm.
Nowe techniki stosowane przez hakerów obejmują wykorzystanie danych uwierzytelniających uzyskanych w wyniku kampanii innych hakerów kradnących informacje. W ten sposób hakerzy Nobelium jako pierwsi uzyskali dostęp do ofiar. Hakerzy wykorzystali także konta z uprawnieniami do podszywania się pod aplikacje, aby „zebrać” wrażliwe dane e-mailowe. Hakerzy wykorzystali także usługi proxy IP dla konsumentów oraz nową infrastrukturę lokalną do komunikacji z ofiarami.
Inne techniki
Wykorzystali także nowe możliwości TTP do omijania ograniczeń bezpieczeństwa w różnych środowiskach, w tym maszynach wirtualnych, w celu określenia konfiguracji routingu wewnętrznego. Kolejnym zastosowanym narzędziem był nowy downloader CEELOADER. Hakerom udało się nawet przeniknąć do aktywnych katalogów kont Microsoft Azure i ukraść „klucze główne”, które dają dostęp do katalogów klientów zainteresowanej strony. Wreszcie hakerom udało się nadużyć uwierzytelniania wieloskładnikowego za pomocą powiadomień push na smartfonach.
Badacze Mandiant zauważyli, że hakerom zależało głównie na danych ważnych dla Rosji. Ponadto w niektórych przypadkach skradziono dane, przez co hakerzy musieli udostępnić nowe wejścia, aby zaatakować inne ofiary.
Stały problem Nobla
Z raportu wynika, że ataki Nobelium nie ustaną w najbliższym czasie. Zdaniem badaczy hakerzy w dalszym ciągu udoskonalają swoje techniki i umiejętności ataków, aby dłużej pozostać w sieciach ofiar, unikać wykrycia i udaremniać operacje odzyskiwania danych.