Hackers da SolarWinds têm novos métodos para ataques em massa

Nobelium, o grupo por trás do ataque SolarWinds, ainda tem um grande arsenal de recursos avançados de hacking à sua disposição. Esta é a conclusão dos especialistas em segurança da Mandiant em um estudo recente. O perigo desses hackers, provavelmente apoiados pelo Estado, ainda não passou.

Há um ano, os hackers do Nobelium conseguiram invadir o especialista em segurança americano SolarWinds. Posteriormente, muitos clientes deste especialista em segurança foram hackeados, cerca de 18,000, incluindo a Microsoft e também o governo dos EUA. Isso com todas as suas consequências.

Uma investigação mais aprofundada sobre os antecedentes dos hackers revelou que os hackers do Nobelium são suspeitos de receber ajuda de um país. Esta é provavelmente a Rússia.

O Nobelium é mais conhecido por suas táticas, técnicas e procedimentos avançados, também conhecidos como TTP. Em vez de atacar suas vítimas uma a uma, eles preferem escolher uma empresa que atenda a vários clientes. Por meio de um hack na última empresa, os hackers procuram uma espécie de 'chave mestra' que simplesmente 'abre' as portas para os clientes.

Pesquisador Mandiant

A pesquisa da Mandiant mostra que a Nobelium e os dois grupos de hackers UNC3004 e UNC2652 que fazem parte desse conglomerado de hackers aperfeiçoaram ainda mais suas atividades de TTP. Especialmente para ataques a cloud fornecedores e MSPs para alcançar ainda mais empresas.

Novas técnicas dos hackers são o uso de credenciais obtidas através de campanhas de malware info-stealer de outros hackers. Com isso, os hackers do Nobelium buscaram o primeiro acesso às vítimas. Os hackers também usaram contas com privilégios de representação de aplicativos para “coletar” dados confidenciais de e-mail. Os hackers também usaram serviços de proxy IP para consumidores e nova infraestrutura local para se comunicar com as vítimas afetadas.

Outras técnicas

Eles também usaram novos recursos de TTP para contornar restrições de segurança em vários ambientes, incluindo máquinas virtuais, para determinar as configurações de roteamento interno. Outra ferramenta utilizada foi o novo downloader CEELOADER. Os hackers ainda conseguiram penetrar em diretórios ativos de contas do Microsoft Azure e roubar 'chaves mestras' que dão acesso a diretórios de clientes de uma parte afetada. Por fim, os hackers conseguiram abusar da autenticação multifator usando notificações push em smartphones.

Os pesquisadores da Mandiant perceberam que os hackers estavam interessados ​​principalmente em dados importantes para a Rússia. Além disso, em alguns casos foram roubados dados que os hackers tiveram que dar novas entradas para atacar outras vítimas.

Problema persistente de nobélio

O relatório conclui que os ataques do Nobelium não vão parar tão cedo. De acordo com os pesquisadores, os hackers continuam aprimorando suas técnicas e habilidades de ataque para permanecer mais tempo nas redes das vítimas, evitar a detecção e frustrar as operações de recuperação.