Hakerët e SolarWinds kanë metoda të reja për sulme masive

Nobelium, grupi që qëndron pas sulmit të SolarWinds, ka ende një arsenal të madh aftësish të avancuara hakerimi në dispozicion të tij. Ky është përfundimi i specialistëve të sigurisë së Mandiant në një studim të fundit. Rreziku i këtyre hakerëve -ndoshta të mbështetur nga shteti- nuk ka kaluar ende.

Një vit më parë, hakerët e Nobelium arritën të hakojnë specialistin amerikan të sigurisë SolarWinds. Më pas, shumë klientë të këtij specialisti të sigurisë u hakeruan, rreth 18,000, përfshirë Microsoft dhe gjithashtu qeverinë amerikane. Kjo me të gjitha pasojat e saj.

Hetimi i mëtejshëm në sfondin e hakerëve zbuloi se hakerët e Nobelium dyshohen se merrnin ndihmë nga një vend. Kjo është ndoshta Rusia.

Nobelium është më i njohur për taktikat, teknikat dhe procedurat e tij të avancuara, të njohura edhe si TTP. Në vend që të sulmojnë viktimat e tyre një nga një, ata preferojnë të zgjedhin një kompani që u shërben klientëve të shumtë. Nëpërmjet një sulmi ndaj kompanisë së fundit, hakerët kërkojnë një lloj 'çelësi kryesor' që më pas thjesht 'hap' dyert për klientët.

Mandianti i Kërkimit

Hulumtimi i Mandiant tregon se Nobelium dhe dy grupet e hakerëve UNC3004 dhe UNC2652 që janë pjesë e këtij konglomerati hakerash, kanë përsosur më tej aktivitetet e tyre TTP. Sidomos për sulmet ndaj cloud shitësit dhe MSP-të për të arritur edhe më shumë biznese.

Teknikat e reja të hakerëve janë përdorimi i kredencialeve të marra përmes fushatave malware të vjedhësve të informacionit të hakerëve të tjerë. Me këtë, hakerët Nobelium kërkuan aksesin e parë për viktimat. Hakerët përdorën gjithashtu llogari me privilegje të imitimit të aplikacionit për të "korrur" të dhëna të ndjeshme emaili. Hakerët përdorën gjithashtu shërbimet e proxy IP për konsumatorët dhe infrastrukturën e re lokale për të komunikuar me viktimat e prekura.

Teknika të tjera

Ata përdorën gjithashtu aftësi të reja TTP për të anashkaluar kufizimet e sigurisë në mjedise të ndryshme, duke përfshirë makinat virtuale, për të përcaktuar konfigurimet e rrugës së brendshme. Një mjet tjetër i përdorur ishte shkarkuesi i ri CEELOADER. Hakerët madje arritën të depërtojnë në drejtoritë aktive të llogarive të Microsoft Azure dhe të vjedhin 'çelësat kryesorë' që japin akses në drejtoritë e klientëve të një pale të prekur. Më në fund, hakerët arritën të abuzojnë me vërtetimin me shumë faktorë duke përdorur njoftime push në telefonat inteligjentë.

Studiuesit Mandiant vunë re se hakerët ishin të interesuar kryesisht për të dhëna që ishin të rëndësishme për Rusinë. Përveç kësaj, në disa raste u vodhën të dhëna se hakerët duhej të jepnin hyrje të reja për të sulmuar viktimat e tjera.

Problemi i vazhdueshëm i Nobeliumit

Raporti përfundon se sulmet e Nobelium nuk do të ndalen së shpejti. Sipas studiuesve, hakerët vazhdojnë të përmirësojnë teknikat dhe aftësitë e tyre të sulmit për të qëndruar më gjatë brenda rrjeteve të viktimave, për të shmangur zbulimin dhe për të penguar operacionet e rikuperimit.