Nobelium, skupina stojaca za útokom SolarWinds, má stále k dispozícii veľký arzenál pokročilých hackerských schopností. Toto sú závery bezpečnostných špecialistov Mandiant v nedávnej štúdii. Nebezpečenstvo týchto – pravdepodobne štátom podporovaných – hackerov ešte nepominulo.
Hackerom z Nobelium sa pred rokom podarilo nabúrať do amerického bezpečnostného špecialistu SolarWinds. Následne bolo napadnutých mnoho zákazníkov tohto bezpečnostného špecialistu, asi 18,000 XNUMX, vrátane Microsoftu a tiež americkej vlády. Toto so všetkými dôsledkami.
Ďalšie vyšetrovanie pozadia hackerov odhalilo, že hackeri Nobelium sú podozriví z prijímania pomoci z krajiny. Toto je pravdepodobne Rusko.
Nobelium je známe najmä pre svoje pokročilé taktiky, techniky a postupy, známe aj ako TTP. Namiesto toho, aby útočili na svoje obete jednu po druhej, radšej si vyberú jednu spoločnosť, ktorá obsluhuje viacerých zákazníkov. Hackeri prostredníctvom hackovania druhej spoločnosti hľadajú akýsi „hlavný kľúč“, ktorý potom jednoducho „otvorí“ dvere zákazníkom.
Research Mandiant
Výskum spoločnosti Mandiant ukazuje, že Nobelium a dve hackerské skupiny UNC3004 a UNC2652, ktoré sú súčasťou tohto hackerského konglomerátu, ďalej zdokonalili svoje aktivity TTP. Najmä pre útoky na cloud predajcov a MSP, aby oslovili ešte viac podnikov.
Nové techniky hackerov sú použitie poverení získaných prostredníctvom info-stealer malvérových kampaní iných hackerov. Týmto sa hackeri z Nobelium snažili získať prvý prístup k obetiam. Hackeri tiež používali účty s oprávneniami na odcudzenie identity aplikácie na „zbieranie“ citlivých e-mailových údajov. Hackeri tiež použili IP proxy služby pre spotrebiteľov a novú lokálnu infraštruktúru na komunikáciu s postihnutými obeťami.
Iné techniky
Využili tiež nové možnosti TTP na obchádzanie bezpečnostných obmedzení v rôznych prostrediach, vrátane virtuálnych počítačov, na určenie interných konfigurácií smerovania. Ďalším použitým nástrojom bol nový downloader CEELOADER. Hackerom sa dokonca podarilo preniknúť do aktívnych adresárov účtov Microsoft Azure a ukradnúť „hlavné kľúče“, ktoré umožňujú prístup k adresárom zákazníkov dotknutej strany. Hackerom sa napokon podarilo zneužiť viacfaktorovú autentifikáciu pomocou push notifikácií na smartfónoch.
Vedci z Mandiantu si všimli, že hackeri sa zaujímali najmä o dáta, ktoré boli pre Rusko dôležité. Okrem toho boli v niektorých prípadoch ukradnuté údaje, ktorým hackeri museli poskytnúť nové vstupy, aby mohli zaútočiť na iné obete.
Nobelium pretrvávajúci problém
Správa uzatvára, že útoky Nobelium sa tak skoro nezastavia. Podľa výskumníkov hackeri pokračujú v zlepšovaní svojich útočných techník a zručností, aby zostali dlhšie v sieťach obetí, vyhli sa odhaleniu a zmarili operácie obnovy.