SolarWinds hujumi ortida turgan Nobelium guruhi hali ham o'z ixtiyorida ilg'or xakerlik qobiliyatlarining katta arsenaliga ega. Mandiantning xavfsizlik bo'yicha mutaxassislari yaqinda o'tkazgan tadqiqotida shunday xulosaga kelishdi. Bu, ehtimol, davlat tomonidan qo'llab-quvvatlangan xakerlarning xavfi hali ham o'tgani yo'q.
Bir yil oldin Nobelium xakerlari amerikalik xavfsizlik bo'yicha mutaxassis SolarWinds kompaniyasini buzib kirishga muvaffaq bo'lishdi. Keyinchalik, ushbu xavfsizlik bo'yicha mutaxassisning ko'plab mijozlari, 18,000 XNUMX ga yaqin mijozlar, jumladan Microsoft va AQSh hukumati buzilgan. Bu barcha oqibatlari bilan.
Xakerlar ortidan keyingi tekshiruvlar Nobelium xakerlari qaysidir davlatdan yordam olganlikda gumon qilinayotganini aniqladi. Bu, ehtimol, Rossiya.
Nobelium o'zining ilg'or taktikasi, texnikasi va protseduralari bilan mashhur bo'lib, TTP nomi bilan ham tanilgan. O'z qurbonlariga birma-bir hujum qilish o'rniga, ular bir nechta mijozlarga xizmat ko'rsatadigan bitta kompaniyani tanlashni afzal ko'rishadi. Oxirgi kompaniyani buzish orqali xakerlar o'ziga xos "asosiy kalit" ni izlaydilar, bu esa shunchaki mijozlar uchun eshiklarni "ochadi".
Tadqiqot Mandianti
Mandiantning tadqiqotlari shuni ko'rsatadiki, Nobelium va ushbu xakerlik konglomeratining bir qismi bo'lgan ikkita UNC3004 va UNC2652 xakerlik guruhlari TTP faoliyatini yanada takomillashtirgan. Ayniqsa, hujumlar uchun cloud sotuvchilar va MSPlar yanada ko'proq biznesni qamrab oladi.
Xakerlarning yangi usullari - bu boshqa xakerlarning zararli dasturlarini o'g'irlash kampaniyalari orqali olingan hisob ma'lumotlaridan foydalanish. Bu bilan Nobelium xakerlari qurbonlarga birinchi kirishni izladilar. Xakerlar, shuningdek, maxfiy elektron pochta ma'lumotlarini "yig'ib olish" uchun Ilovaga taqlid qilish imtiyozlariga ega hisoblardan foydalangan. Xakerlar, shuningdek, jabrlanganlar bilan aloqa qilish uchun iste'molchilar uchun IP proksi xizmatlaridan va yangi mahalliy infratuzilmadan foydalanganlar.
Boshqa texnikalar
Shuningdek, ular ichki marshrutlash konfiguratsiyasini aniqlash uchun turli muhitlarda, jumladan virtual mashinalarda xavfsizlik cheklovlarini chetlab o'tish uchun yangi TTP imkoniyatlaridan foydalanganlar. Foydalanilgan yana bir vosita yangi CEELOADER yuklab olish dasturi edi. Xakerlar hatto Microsoft Azure akkauntlarining faol kataloglariga kirib, zarar ko'rgan tomon mijozlari kataloglariga kirish imkonini beruvchi “bosh kalitlar”ni o'g'irlashga muvaffaq bo'lishdi. Nihoyat, xakerlar smartfonlardagi push-bildirishnomalar yordamida ko‘p faktorli autentifikatsiyani suiiste’mol qilishga muvaffaq bo‘lishdi.
Mandiant tadqiqotchilari xakerlarni asosan Rossiya uchun muhim bo'lgan ma'lumotlarga qiziqtirganini payqashdi. Bundan tashqari, ba'zi hollarda xakerlar boshqa qurbonlarga hujum qilish uchun yangi kirishlar berishga majbur bo'lgan ma'lumotlar o'g'irlangan.
Nobeliy doimiy muammo
Hisobotda Nobeliyning hujumlari yaqin orada to‘xtamaydi, degan xulosaga keldi. Tadqiqotchilarning fikriga ko'ra, xakerlar qurbonlar tarmog'ida uzoqroq qolish, aniqlashdan qochish va tiklash operatsiyalarini puchga chiqarish uchun hujum qilish texnikasi va ko'nikmalarini yaxshilashda davom etmoqda.