Нобелиум, група која стоји иза напада СоларВиндс, још увек има на располагању велики арсенал напредних хакерских могућности. Ово је закључак Мандиантових стручњака за безбедност у недавној студији. Опасност од ових хакера, вероватно уз подршку државе, још није прошла.
Пре годину дана, хакери Нобелијума успели су да хакују америчког стручњака за безбедност СоларВиндс. Након тога, многи клијенти овог стручњака за безбедност су хаковани, око 18,000, укључујући Мицрософт и америчку владу. Ово са свим последицама.
Даља истрага о позадини хакера открила је да се хакери Нобелијума сумњиче да су примали помоћ од неке земље. Ово је вероватно Русија.
Нобелијум је најпознатији по својим напредним тактикама, техникама и процедурама, познатим и као ТТП. Уместо да нападају своје жртве једну по једну, они радије бирају једну компанију која опслужује више купаца. Путем хаковања ове последње компаније, хакери траже неку врсту 'главног кључа' који онда једноставно 'отвара' врата купцима.
Ресеарцх Мандиант
Мандиантово истраживање показује да су Нобелијум и две хакерске групе УНЦ3004 и УНЦ2652 које су део овог хакерског конгломерата, додатно усавршиле своје ТТП активности. Посебно за нападе на cloud добављаче и МСП-ове како би досегли још више предузећа.
Нове технике хакера су коришћење акредитива добијених кроз кампање малвера за крађу информација других хакера. Овим су нобелијумски хакери тражили први приступ жртвама. Хакери су такође користили налоге са привилегијама за лажно представљање у апликацији да би „укупили“ осетљиве податке е-поште. Хакери су такође користили услуге ИП проксија за потрошаче и нову локалну инфраструктуру за комуникацију са погођеним жртвама.
Остале технике
Такође су користили нове ТТП могућности за заобилажење безбедносних ограничења у различитим окружењима, укључујући виртуелне машине, да би одредили интерне конфигурације рутирања. Још један коришћени алат био је нови програм за преузимање ЦЕЕЛОАДЕР. Хакери су чак успели да продру у активне директоријуме Мицрософт Азуре налога и украду 'мастер кључеве' који дају приступ директоријумима клијената погођене стране. Коначно, хакери су успели да злоупотребе вишефакторску аутентификацију користећи пусх обавештења на паметним телефонима.
Истраживачи Мандиант-а су приметили да су хакере углавном занимали подаци који су важни за Русију. Поред тога, у неким случајевима су украдени подаци да су хакери морали да дају нове улазе да би напали друге жртве.
Упорни проблем Нобелијума
У извештају се закључује да напади Нобелијума неће престати ускоро. Према истраживачима, хакери настављају да унапређују своје технике напада и вештине како би дуже остали у мрежама жртава, избегли откривање и осујетили операције опоравка.