SolarWinds Hackers têm novos métodos para ataques em massa

Nobelium, o grupo por trás do ataque SolarWinds, ainda tem um grande arsenal de recursos avançados de hacking à sua disposição. Esta é a conclusão dos especialistas em segurança da Mandiant em um estudo recente. O perigo destes - provavelmente apoiados pelo Estado- hackers ainda não passaram.

Um ano atrás, os hackers do Nobelium conseguiram invadir o especialista em segurança americano SolarWinds. Subseqüentemente, muitos clientes deste especialista em segurança foram hackeados, sobre 18,000, incluindo a Microsoft e também o governo dos EUA. Isso com todas as suas consequências.

Uma investigação mais aprofundada sobre os antecedentes dos hackers revelou que os hackers do Nobelium são suspeitos de receber ajuda de um país. Esta é provavelmente a Rússia.

Nobelium é mais conhecido por suas táticas avançadas, técnicas e procedimentos, também conhecido como TTP. Em vez de atacar suas vítimas uma por uma, eles preferem escolher uma empresa que atenda a vários clientes. Por meio de um hack na última empresa, os hackers procuram uma espécie de "chave mestra’ que então simplesmente 'abre’ as portas para os clientes.

Pesquisa Mandiant

A pesquisa de Mandiant mostra que o Nobelium, e os dois grupos de hackers UNC3004 e UNC2652 que fazem parte deste conglomerado de hackers, aperfeiçoaram ainda mais suas atividades de TTP. Especialmente para ataques a fornecedores de nuvem e MSPs para atingir ainda mais empresas.

Novas técnicas dos hackers são o uso de credenciais obtidas por meio de campanhas de malware ladrão de informações de outros hackers. Com isso, os hackers do Nobelium buscaram o primeiro acesso às vítimas. Os hackers também usaram contas com privilégios de representação de aplicativos para “colheita” dados confidenciais de e-mail. Os hackers também usaram serviços de proxy de IP para consumidores e nova infraestrutura local para se comunicar com as vítimas afetadas.

Outras técnicas

Eles também usaram novos recursos de TTP para contornar as restrições de segurança em vários ambientes, incluindo máquinas virtuais, para determinar as configurações de roteamento interno. Outra ferramenta utilizada foi o novo downloader CEELOADER. Os hackers conseguiram até penetrar em diretórios ativos de contas do Microsoft Azure e roubar "chaves mestras’ que dão acesso a diretórios de clientes de uma parte afetada. Finalmente, os hackers conseguiram abusar da autenticação multifator usando notificações push em smartphones.

Os pesquisadores da Mandiant notaram que os hackers estavam principalmente interessados ​​em dados importantes para a Rússia. além do que, além do mais, em alguns casos, foram roubados dados que os hackers tiveram que dar novas entradas para atacar outras vítimas.

Problema persistente de Nobelium

O relatório conclui que os ataques do Nobelium não vão parar tão cedo. De acordo com os pesquisadores, os hackers continuam a aprimorar suas técnicas e habilidades de ataque para permanecer mais tempo nas vítimas’ redes, evite a detecção e frustre as operações de recuperação.