Nobelium, группа, стоящая за атакой SolarWinds, по-прежнему имеет в своем распоряжении большой арсенал передовых хакерских возможностей. К такому выводу пришли специалисты по безопасности Mandiant в недавнем исследовании. Опасность этих — возможно, поддерживаемых государством — хакеров еще не миновала.
Год назад хакерам Nobelium удалось взломать американскую компанию по безопасности SolarWinds. Впоследствии многие клиенты этого специалиста по безопасности были взломаны, около 18,000 XNUMX, включая Microsoft, а также правительство США. Это со всеми вытекающими последствиями.
Дальнейшее расследование предыстории хакеров показало, что хакеры Nobelium подозреваются в получении помощи от страны. Это, наверное, Россия.
Nobelium наиболее известен своей передовой тактикой, методами и процедурами, также известными как TTP. Вместо того, чтобы атаковать своих жертв одну за другой, они предпочитают выбирать одну компанию, которая обслуживает несколько клиентов. Взломав последнюю компанию, хакеры ищут своего рода «мастер-ключ», который затем просто «открывает» двери для клиентов.
Исследовательский Мандиант
Исследование Mandiant показывает, что Nobelium и две хакерские группы UNC3004 и UNC2652, являющиеся частью этого хакерского конгломерата, еще больше усовершенствовали свою деятельность TTP. Специально для нападения на cloud поставщиков и MSP, чтобы охватить еще больше предприятий.
Новые методы хакеров - это использование учетных данных, полученных в результате кампаний по краже информации другими хакерами. При этом хакеры Nobelium искали первый доступ к жертвам. Хакеры также использовали учетные записи с привилегиями Application Impersonation для «сбора» конфиденциальных данных электронной почты. Хакеры также использовали как службы IP-прокси для потребителей, так и новую локальную инфраструктуру для связи с пострадавшими жертвами.
Другие техники
Они также использовали новые возможности TTP для обхода ограничений безопасности в различных средах, включая виртуальные машины, для определения внутренних конфигураций маршрутизации. Еще одним используемым инструментом был новый загрузчик CEELOADER. Хакерам даже удалось проникнуть в активные каталоги учетных записей Microsoft Azure и украсть «мастер-ключи», дающие доступ к каталогам клиентов пострадавшей стороны. Наконец, хакерам удалось взломать многофакторную аутентификацию с помощью push-уведомлений на смартфонах.
Исследователи Mandiant заметили, что хакеров в основном интересовали данные, важные для России. Кроме того, в некоторых случаях были украдены данные о том, что хакерам приходилось давать новые входы для атак других жертв.
Постоянная проблема с нобелием
В отчете делается вывод, что атаки Nobelium не прекратятся в ближайшее время. По словам исследователей, хакеры продолжают совершенствовать свои методы и навыки атак, чтобы дольше оставаться в сетях жертв, избегать обнаружения и срывать операции по восстановлению.