SolarWinds saldırısının arkasındaki grup olan Nobelium, elinde hala geniş bir gelişmiş bilgisayar korsanlığı yetenekleri cephanesine sahip. Bu, Mandiant'ın güvenlik uzmanlarının yakın tarihli bir çalışmada vardığı sonuçtur. Bu -muhtemelen devlet destekli- bilgisayar korsanlarının tehlikesi henüz geçmedi.
Bir yıl önce, Nobelium bilgisayar korsanları, Amerikan güvenlik uzmanı SolarWinds'i hacklemeyi başardı. Daha sonra, bu güvenlik uzmanının birçok müşterisi, Microsoft ve ayrıca ABD hükümeti de dahil olmak üzere yaklaşık 18,000 kişi hacklendi. Bu, tüm sonuçlarıyla birlikte.
Bilgisayar korsanlarının geçmişine ilişkin daha fazla araştırma, Nobelium bilgisayar korsanlarının bir ülkeden yardım aldığından şüphelenildiğini ortaya çıkardı. Bu muhtemelen Rusya.
Nobelium, TTP olarak da bilinen gelişmiş taktikleri, teknikleri ve prosedürleri ile tanınır. Kurbanlarına tek tek saldırmak yerine birden fazla müşteriye hizmet veren bir firmayı tercih ediyorlar. Bilgisayar korsanları, ikinci şirkete yönelik bir hack yoluyla, müşterilere kapıları basitçe "açan" bir tür "ana anahtar" ararlar.
Araştırma Görevlisi
Mandiant'ın araştırması, Nobelium'un ve bu hacker grubunun bir parçası olan iki hacker grubu UNC3004 ve UNC2652'nin TTP faaliyetlerini daha da mükemmelleştirdiğini gösteriyor. Özellikle saldırılar için cloud satıcılar ve MSP'ler daha da fazla işletmeye ulaşmak için.
Bilgisayar korsanlarının yeni teknikleri, diğer bilgisayar korsanlarının bilgi hırsızı kötü amaçlı yazılım kampanyaları yoluyla elde edilen kimlik bilgilerinin kullanılmasıdır. Bununla, Nobelium bilgisayar korsanları kurbanlara ilk erişimi aradılar. Bilgisayar korsanları, hassas e-posta verilerini "toplamak" için Uygulama Kimliğine Ait ayrıcalıklara sahip hesapları da kullandı. Bilgisayar korsanları ayrıca tüketiciler için IP proxy hizmetlerini ve etkilenen kurbanlarla iletişim kurmak için yeni yerel altyapıyı kullandı.
Diğer teknikler
Ayrıca, dahili yönlendirme yapılandırmalarını belirlemek için sanal makineler de dahil olmak üzere çeşitli ortamlarda güvenlik kısıtlamalarını atlamak için yeni TTP yetenekleri kullandılar. Kullanılan başka bir araç da yeni CEELOADER indiricisiydi. Bilgisayar korsanları, Microsoft Azure hesaplarının aktif dizinlerine girmeyi ve etkilenen bir tarafın müşterilerinin dizinlerine erişim sağlayan 'ana anahtarları' çalmayı bile başardı. Son olarak, bilgisayar korsanları akıllı telefonlarda push bildirimlerini kullanarak çok faktörlü kimlik doğrulamayı kötüye kullanmayı başardılar.
Mandiant araştırmacıları, bilgisayar korsanlarının esas olarak Rusya için önemli olan verilerle ilgilendiğini fark etti. Ayrıca, bazı durumlarda, bilgisayar korsanlarının diğer kurbanlara saldırmak için yeni girişler vermek zorunda kaldığı veriler çalındı.
Nobelium kalıcı sorunu
Rapor, Nobelium'un saldırılarının yakın zamanda durmayacağı sonucuna varıyor. Araştırmacılara göre, bilgisayar korsanları, kurbanların ağlarında daha uzun süre kalmak, tespitten kaçınmak ve kurtarma operasyonlarını boşa çıkarmak için saldırı tekniklerini ve becerilerini geliştirmeye devam ediyor.