Nobelium กลุ่มที่อยู่เบื้องหลังการโจมตี SolarWinds ยังคงมีคลังแสงขนาดใหญ่ของความสามารถในการแฮ็คขั้นสูงที่มีอยู่ นี่คือบทสรุปของผู้เชี่ยวชาญด้านความปลอดภัยของ Mandiant ในการศึกษาล่าสุด อันตรายของแฮ็กเกอร์ซึ่งน่าจะได้รับการสนับสนุนจากรัฐเหล่านี้ยังไม่ผ่านพ้นไป
ปีที่แล้ว แฮ็กเกอร์ Nobelium พยายามเจาะระบบ SolarWinds ผู้เชี่ยวชาญด้านความปลอดภัยชาวอเมริกัน ต่อมา ลูกค้าจำนวนมากของผู้เชี่ยวชาญด้านความปลอดภัยรายนี้ถูกแฮ็ก ประมาณ 18,000 ราย รวมทั้งไมโครซอฟท์ และรัฐบาลสหรัฐฯ ด้วย นี้กับผลที่ตามมาทั้งหมด
การตรวจสอบเพิ่มเติมเกี่ยวกับภูมิหลังของแฮ็กเกอร์เปิดเผยว่าแฮ็กเกอร์โนบีเลียมถูกสงสัยว่าได้รับความช่วยเหลือจากประเทศหนึ่ง นี่น่าจะเป็นรัสเซีย
Nobelium เป็นที่รู้จักกันเป็นอย่างดีในด้านกลวิธี เทคนิค และขั้นตอนขั้นสูง หรือที่เรียกว่า TTP แทนที่จะโจมตีเหยื่อทีละราย พวกเขาชอบเลือกบริษัทหนึ่งแห่งที่ให้บริการลูกค้าหลายราย แฮกเกอร์มองหา 'มาสเตอร์คีย์' แบบใดแบบหนึ่งผ่านแฮ็กของบริษัทหลังนี้ จากนั้นเพียง 'เปิดประตู' ให้กับลูกค้า
หัวหน้างานวิจัย
การวิจัยของ Mandiant แสดงให้เห็นว่า Nobelium และกลุ่มแฮ็กเกอร์ทั้งสองกลุ่ม UNC3004 และ UNC2652 ซึ่งเป็นส่วนหนึ่งของกลุ่มบริษัทแฮ็คนี้ได้ปรับปรุงกิจกรรม TTP ของพวกเขาให้สมบูรณ์แบบยิ่งขึ้น โดยเฉพาะอย่างยิ่งสำหรับการโจมตีบน cloud ผู้ขายและ MSP เพื่อเข้าถึงธุรกิจมากยิ่งขึ้น
เทคนิคใหม่ของแฮ็กเกอร์คือการใช้ข้อมูลประจำตัวที่ได้รับจากแคมเปญมัลแวร์ขโมยข้อมูลของแฮ็กเกอร์รายอื่น ด้วยเหตุนี้ แฮกเกอร์ Nobelium จึงพยายามเข้าถึงเหยื่อก่อน แฮกเกอร์ยังใช้บัญชีที่มีสิทธิ์เลียนแบบแอปพลิเคชันเพื่อ "เก็บเกี่ยว" ข้อมูลอีเมลที่ละเอียดอ่อน แฮกเกอร์ยังใช้ทั้งบริการพร็อกซี IP สำหรับผู้บริโภคและโครงสร้างพื้นฐานใหม่ในพื้นที่เพื่อสื่อสารกับผู้ที่ตกเป็นเหยื่อ
เทคนิคอื่น ๆ
พวกเขายังใช้ความสามารถ TTP ใหม่ในการข้ามข้อจำกัดด้านความปลอดภัยในสภาพแวดล้อมต่างๆ รวมถึงเครื่องเสมือน เพื่อกำหนดการกำหนดค่าการกำหนดเส้นทางภายใน เครื่องมืออื่นที่ใช้คือตัวดาวน์โหลด CEELOADER ใหม่ แฮกเกอร์ยังสามารถเจาะเข้าไปในไดเรกทอรีที่ใช้งานอยู่ของบัญชี Microsoft Azure และขโมย 'มาสเตอร์คีย์' ที่ให้การเข้าถึงไดเรกทอรีของลูกค้าของบุคคลที่ได้รับผลกระทบ ในที่สุด แฮกเกอร์สามารถใช้การรับรองความถูกต้องแบบหลายปัจจัยในทางที่ผิดโดยใช้การแจ้งเตือนแบบพุชบนสมาร์ทโฟน
นักวิจัยของ Mandiant สังเกตว่าแฮกเกอร์สนใจข้อมูลที่สำคัญสำหรับรัสเซียเป็นหลัก นอกจากนี้ ในบางกรณี ข้อมูลถูกขโมยไปโดยแฮกเกอร์ต้องเปิดช่องทางใหม่เพื่อโจมตีเหยื่อรายอื่น
โนบีเลียมปัญหาถาวร
รายงานสรุปว่าการโจมตีของ Nobelium จะไม่หยุดในเร็วๆ นี้ นักวิจัยกล่าวว่าแฮ็กเกอร์ยังคงพัฒนาเทคนิคและทักษะการโจมตีของพวกเขาอย่างต่อเนื่องเพื่อให้อยู่ในเครือข่ายของเหยื่อได้นานขึ้น หลีกเลี่ยงการตรวจจับและทำให้การดำเนินการกู้คืนผิดหวัง