Nobelium, gruppen bakom SolarWinds-attacken, har fortfarande en stor arsenal av avancerade hackningsmöjligheter till sitt förfogande. Detta är slutsatsen från Mandians säkerhetsspecialister i en nyligen genomförd studie. Faran för dessa -förmodligen statsstödda- hackare har ännu inte passerat.
För ett år sedan lyckades Nobelium-hackerna hacka sig in på den amerikanska säkerhetsspecialisten SolarWinds. Därefter hackades många kunder till denna säkerhetsspecialist, cirka 18,000 XNUMX, inklusive Microsoft och även den amerikanska regeringen. Detta med alla dess konsekvenser.
Ytterligare undersökningar av hackarnas bakgrund avslöjade att Nobelium-hackerna misstänks ha tagit emot hjälp från ett land. Detta är förmodligen Ryssland.
Nobelium är mest känt för sina avancerade taktiker, tekniker och procedurer, även känd som TTP. Istället för att attackera sina offer en efter en, föredrar de att välja ett företag som servar flera kunder. Via ett hack på det sistnämnda företaget letar hackarna efter en sorts 'huvudnyckel' som sedan helt enkelt 'öppnar' dörrarna till kunderna.
Forskningsmandiant
Mandiants forskning visar att Nobelium, och de två hackergrupperna UNC3004 och UNC2652 som ingår i detta hackingkonglomerat, ytterligare har fulländat sina TTP-aktiviteter. Speciellt för attacker mot cloud leverantörer och MSP:er för att nå ännu fler företag.
Nya tekniker för hackare är användningen av referenser som erhållits genom informationsstjälarkampanjer med skadlig kod från andra hackare. Med detta sökte Nobelium-hackerna den första tillgången till offren. Hackarna använde också konton med Application Impersonation-privilegier för att "skörda" känslig e-postdata. Hackarna använde också både IP-proxytjänster för konsumenter och ny lokal infrastruktur för att kommunicera med drabbade offer.
Andra tekniker
De använde också nya TTP-funktioner för att kringgå säkerhetsrestriktioner i olika miljöer, inklusive virtuella maskiner, för att fastställa interna routingkonfigurationer. Ett annat verktyg som användes var den nya CEELOADER-nedladdaren. Hackarna lyckades till och med penetrera aktiva kataloger för Microsoft Azure-konton och stjäla "huvudnycklar" som ger tillgång till kataloger för kunder hos en berörd part. Slutligen lyckades hackarna missbruka multifaktorautentisering med push-meddelanden på smartphones.
Mandiant-forskarna märkte att hackarna främst var intresserade av data som var viktig för Ryssland. Dessutom stals i vissa fall data som hackarna var tvungna att ge nya ingångar för att attackera andra offer.
Nobelium ihållande problem
Rapporten drar slutsatsen att Nobeliums attacker inte kommer att upphöra när som helst snart. Enligt forskarna fortsätter hackarna att förbättra sina attacktekniker och färdigheter för att stanna längre inom offrens nätverk, undvika upptäckt och frustrera återställningsoperationer.