Nobelium, grupul din spatele atacului SolarWinds, mai are la dispoziție un arsenal mare de capabilități avansate de hacking. Aceasta este concluzia specialiștilor în securitate de la Mandiant într-un studiu recent. Pericolul acestor hackeri -probabil susținuți de stat- nu a trecut încă.
Acum un an, hackerii Nobelium au reușit să pirateze specialistul american în securitate SolarWinds. Ulterior, mulți clienți ai acestui specialist în securitate au fost piratați, aproximativ 18,000, inclusiv Microsoft și, de asemenea, guvernul SUA. Asta cu toate consecințele lui.
O investigație ulterioară în contextul hackerilor a arătat că hackerii Nobelium sunt suspectați că primesc ajutor de la o țară. Aceasta este probabil Rusia.
Nobelium este cel mai bine cunoscut pentru tacticile, tehnicile și procedurile sale avansate, cunoscute și sub numele de TTP. În loc să-și atace victimele una câte una, ei preferă să aleagă o companie care deservește mai mulți clienți. Printr-un hack asupra ultimei companii, hackerii caută un fel de „cheie principală” care apoi pur și simplu „deschide” ușile clienților.
Cercetare Mandiant
Cercetările lui Mandiant arată că Nobelium și cele două grupuri de hackeri UNC3004 și UNC2652 care fac parte din acest conglomerat de hacking și-au perfecționat și mai mult activitățile TTP. Mai ales pentru atacuri asupra cloud furnizori și MSP pentru a ajunge la și mai multe afaceri.
Noile tehnici ale hackerilor sunt utilizarea acreditărilor obținute prin campanii de malware de tip info-stealer ale altor hackeri. Cu aceasta, hackerii Nobelium au căutat primul acces la victime. Hackerii au folosit, de asemenea, conturi cu privilegii de uzurpare a identității pentru a „recolta” date sensibile de e-mail. Hackerii au folosit, de asemenea, atât servicii IP proxy pentru consumatori, cât și noua infrastructură locală pentru a comunica cu victimele afectate.
Alte tehnici
Ei au folosit, de asemenea, noi capabilități TTP pentru a ocoli restricțiile de securitate în diferite medii, inclusiv mașini virtuale, pentru a determina configurațiile interne de rutare. Un alt instrument folosit a fost noul program de descărcare CELOADER. Hackerii au reușit chiar să pătrundă în directoarele active ale conturilor Microsoft Azure și să fure „chei principale” care oferă acces la directoarele clienților unei părți afectate. În cele din urmă, hackerii au reușit să abuzeze de autentificarea cu mai mulți factori folosind notificări push pe smartphone-uri.
Cercetătorii Mandiant au observat că hackerii erau interesați în principal de datele care erau importante pentru Rusia. În plus, în unele cazuri au fost furate date că hackerii au fost nevoiți să ofere noi intrări pentru a ataca alte victime.
Problemă persistentă cu Nobeliul
Raportul concluzionează că atacurile Nobelium nu se vor opri prea curând. Potrivit cercetătorilor, hackerii continuă să-și îmbunătățească tehnicile și abilitățile de atac pentru a rămâne mai mult timp în rețelele victimelor, pentru a evita detectarea și a frustra operațiunile de recuperare.