Ang Nobelium, ang grupo sa likod ng pag-atake ng SolarWinds, ay mayroon pa ring malaking arsenal ng mga advanced na kakayahan sa pag-hack sa pagtatapon nito. Ito ang konklusyon ng mga espesyalista sa seguridad ng Mandiant sa isang kamakailang pag-aaral. Ang panganib ng mga -malamang na suportado ng estado- hacker ay hindi pa lumilipas.
Isang taon na ang nakalilipas, nagawa ng mga hacker ng Nobelium na i-hack ang American security specialist na SolarWinds. Kasunod nito, maraming customer ng security specialist na ito ang na-hack, humigit-kumulang 18,000, kabilang ang Microsoft at ang gobyerno ng US. Ito kasama ang lahat ng mga kahihinatnan nito.
Ang karagdagang pagsisiyasat sa background ng mga hacker ay nagsiwalat na ang mga hacker ng Nobelium ay pinaghihinalaang tumatanggap ng tulong mula sa isang bansa. Malamang Russia ito.
Kilala ang Nobelium sa mga advanced na taktika, pamamaraan at pamamaraan nito, na kilala rin bilang TTP. Sa halip na salakayin ang kanilang mga biktima isa-isa, mas gusto nilang pumili ng isang kumpanya na nagsisilbi sa maraming customer. Sa pamamagitan ng isang hack sa huling kumpanya, ang mga hacker ay naghahanap ng isang uri ng 'master key' na pagkatapos ay 'magbubukas' lamang ng mga pinto sa mga customer.
Research Mandiant
Ang pananaliksik ng Mandiant ay nagpapakita na ang Nobelium, at ang dalawang grupo ng hacker na UNC3004 at UNC2652 na bahagi ng conglomerate ng pag-hack na ito, ay higit na nagpaperpekto sa kanilang mga aktibidad sa TTP. Lalo na para sa mga pag-atake sa cloud mga vendor at MSP upang maabot ang higit pang mga negosyo.
Ang mga bagong diskarte ng mga hacker ay ang paggamit ng mga kredensyal na nakuha sa pamamagitan ng mga kampanya ng malware ng info-stealer ng iba pang mga hacker. Sa pamamagitan nito, hinahangad ng mga hacker ng Nobelium ang unang pag-access sa mga biktima. Gumamit din ang mga hacker ng mga account na may mga pribilehiyo sa Application Impersonation para "mag-ani" ng sensitibong data ng email. Ginamit din ng mga hacker ang parehong mga serbisyo ng IP proxy para sa mga consumer at bagong lokal na imprastraktura upang makipag-ugnayan sa mga apektadong biktima.
Iba pang mga pamamaraan
Gumamit din sila ng mga bagong kakayahan sa TTP para sa pag-bypass sa mga paghihigpit sa seguridad sa iba't ibang kapaligiran, kabilang ang mga virtual machine, upang matukoy ang mga panloob na configuration ng pagruruta. Ang isa pang tool na ginamit ay ang bagong CEELOADER downloader. Nagawa pa nga ng mga hacker na mapasok ang mga aktibong direktoryo ng mga Microsoft Azure account at nakawin ang 'mga master key' na nagbibigay ng access sa mga direktoryo ng mga customer ng isang apektadong partido. Sa wakas, nagawang abusuhin ng mga hacker ang multi-factor authentication gamit ang mga push notification sa mga smartphone.
Napansin ng mga mananaliksik ng Mandiant na ang mga hacker ay pangunahing interesado sa data na mahalaga sa Russia. Bilang karagdagan, sa ilang mga kaso ay ninakaw ang data na ang mga hacker ay kailangang magbigay ng mga bagong pasukan upang atakehin ang iba pang mga biktima.
Ang patuloy na problema ng Nobelium
Ang ulat ay nagtapos na ang mga pag-atake ng Nobelium ay hindi titigil anumang oras sa lalong madaling panahon. Ayon sa mga mananaliksik, patuloy na pinapabuti ng mga hacker ang kanilang mga diskarte at kasanayan sa pag-atake upang manatili nang mas matagal sa loob ng mga network ng mga biktima, maiwasan ang pagtuklas at biguin ang mga operasyon sa pagbawi.