Nobelium, kundi lililo nyuma ya shambulio la SolarWinds, bado lina safu kubwa ya uwezo wa hali ya juu wa udukuzi. Hili ndilo hitimisho la wataalamu wa usalama wa Mandiant katika utafiti wa hivi majuzi. Hatari ya hawa -wadukuzi wanaoungwa mkono na serikali- bado haijapita.
Mwaka mmoja uliopita, wadukuzi wa Nobelium walifanikiwa kuvamia mtaalamu wa usalama wa Marekani SolarWinds. Baadaye, wateja wengi wa mtaalamu huyu wa usalama walidukuliwa, takriban 18,000, ikiwa ni pamoja na Microsoft na pia serikali ya Marekani. Hii pamoja na matokeo yake yote.
Uchunguzi zaidi kuhusu historia ya wadukuzi hao ulibaini kuwa wavamizi hao wa Nobelium wanashukiwa kupokea msaada kutoka kwa nchi fulani. Labda hii ni Urusi.
Nobelium inajulikana zaidi kwa mbinu, mbinu na taratibu za hali ya juu, pia inajulikana kama TTP. Badala ya kuwashambulia wahasiriwa wao mmoja baada ya mwingine, wanapendelea kuchagua kampuni moja inayohudumia wateja wengi. Kupitia udukuzi kwenye kampuni ya mwisho, wadukuzi hutafuta aina ya 'master key' ambayo kisha 'hufungua' milango kwa wateja.
Mandiant wa Utafiti
Utafiti wa Mandiant unaonyesha kuwa Nobelium, na vikundi viwili vya wadukuzi UNC3004 na UNC2652 ambavyo ni sehemu ya mkusanyiko huu wa udukuzi, wameboresha zaidi shughuli zao za TTP. Hasa kwa mashambulizi cloud wachuuzi na MSPs kufikia biashara zaidi.
Mbinu mpya za wadukuzi ni matumizi ya vitambulisho vilivyopatikana kupitia kampeni za programu hasidi za wizi wa taarifa za wavamizi wengine. Kwa hili, watapeli wa Nobelium walitafuta ufikiaji wa kwanza kwa wahasiriwa. Wadukuzi pia walitumia akaunti zilizo na mapendeleo ya Uigaji wa Programu ili "kuvuna" data nyeti ya barua pepe. Wadukuzi pia walitumia huduma za wakala wa IP kwa watumiaji na miundombinu mipya ya ndani kuwasiliana na waathiriwa walioathiriwa.
Mbinu nyingine
Pia walitumia uwezo mpya wa TTP kwa kupita vikwazo vya usalama katika mazingira mbalimbali, ikiwa ni pamoja na mashine pepe, ili kubainisha usanidi wa uelekezaji wa ndani. Zana nyingine iliyotumika ilikuwa kipakuzi kipya cha CEELOADER. Wadukuzi hao hata waliweza kupenya saraka amilifu za akaunti za Microsoft Azure na kuiba 'funguo kuu' zinazotoa ufikiaji wa saraka za wateja wa wahusika walioathirika. Hatimaye, wadukuzi waliweza kutumia vibaya uthibitishaji wa vipengele vingi kwa kutumia arifa zinazotumwa na programu hata wakati huitumii kwenye simu mahiri.
Watafiti wa Mandiant waligundua kuwa wadukuzi walivutiwa zaidi na data ambayo ilikuwa muhimu kwa Urusi. Kwa kuongezea, katika visa vingine data iliibiwa kwamba wadukuzi walilazimika kutoa viingilio vipya ili kushambulia wahasiriwa wengine.
Tatizo la kudumu la Nobelium
Ripoti hiyo inahitimisha kuwa mashambulizi ya Nobelium hayatakoma hivi karibuni. Kulingana na watafiti, wavamizi hao wanaendelea kuboresha mbinu na ujuzi wao wa kushambulia ili kukaa muda mrefu ndani ya mitandao ya wahasiriwa, kuepuka kugunduliwa na kukatisha shughuli za uokoaji.