Nobelium, skupina, ki stoji za napadom SolarWinds, ima še vedno na voljo velik arzenal naprednih hekerskih zmogljivosti. To je sklep Mandiantovih varnostnih strokovnjakov v nedavni študiji. Nevarnost teh hekerjev, ki jih verjetno podpira država, še ni minila.
Pred enim letom je hekerjem Nobelium uspelo vdreti v ameriškega varnostnega strokovnjaka SolarWinds. Kasneje je bilo veliko strank tega varnostnega strokovnjaka vdrtih, približno 18,000, vključno z Microsoftom in tudi vlado ZDA. To z vsemi posledicami.
Nadaljnja preiskava ozadja hekerjev je pokazala, da so hekerji Nobelium osumljeni prejemanja pomoči od države. To je verjetno Rusija.
Nobelium je najbolj znan po svojih naprednih taktikah, tehnikah in postopkih, znanih tudi kot TTP. Namesto da bi svoje žrtve napadali eno za drugo, raje izberejo eno podjetje, ki služi več strankam. Z vdorom v slednje podjetje hekerji iščejo nekakšen "glavni ključ", ki nato preprosto "odpre" vrata strankam.
Raziskovalni Mandiant
Mandiantova raziskava kaže, da sta Nobelium in dve hekerski skupini UNC3004 in UNC2652, ki sta del tega hekerskega konglomerata, dodatno izpopolnili svoje dejavnosti TTP. Še posebej za napade na cloud prodajalcev in ponudnikov storitev, da dosežejo še več podjetij.
Nove tehnike hekerjev so uporaba poverilnic, pridobljenih s kampanjami zlonamerne programske opreme za krajo informacij drugih hekerjev. S tem so hekerji Nobelium iskali prvi dostop do žrtev. Hekerji so uporabljali tudi račune s privilegiji za lažno predstavljanje aplikacije za "nabiranje" občutljivih e-poštnih podatkov. Hekerji so uporabljali tudi storitve proxy IP za potrošnike in novo lokalno infrastrukturo za komunikacijo s prizadetimi žrtvami.
Druge tehnike
Uporabili so tudi nove zmogljivosti TTP za obhod varnostnih omejitev v različnih okoljih, vključno z navideznimi stroji, da bi določili notranje konfiguracije usmerjanja. Drugo uporabljeno orodje je bil novi prenosnik CEELOADER. Hekerjem je celo uspelo prodreti v aktivne imenike računov Microsoft Azure in ukrasti 'glavne ključe', ki omogočajo dostop do imenikov strank prizadete strani. Nazadnje je hekerjem uspelo zlorabiti večfaktorsko preverjanje pristnosti s potisnimi obvestili na pametnih telefonih.
Raziskovalci Mandiant so opazili, da hekerje zanimajo predvsem podatki, ki so pomembni za Rusijo. Poleg tega so bili v nekaterih primerih ukradeni podatki, da so morali hekerji omogočiti nove vhode za napad na druge žrtve.
Trajna težava z Nobeliumom
Poročilo ugotavlja, da se napadi Nobeliuma ne bodo kmalu končali. Po mnenju raziskovalcev hekerji še naprej izboljšujejo svoje napadalne tehnike in veščine, da ostanejo dlje v omrežjih žrtev, se izognejo odkrivanju in onemogočajo operacije obnovitve.