Nobelium APT

Nobelium APT Описание

Nobelium APT стана основен играч в пейзажа на кибершпионажа миналата година, когато неизвестната преди това хакерска група извърши масивна атака на веригата за доставки срещу разработчика на софтуер SolarWinds. По това време Microsoft присвои името Solarigate на хакерския колектив, но по-късно го промени на Nobelium. Компанията за киберсигурност FireEye проследява дейността на групата под обозначението UNC2542.

Атаката на SolarWinds

 Хакването срещу SolarWinds показа, че Nobelium внедри четири различни щама зловреден софтуер, които им помогнаха да организират атаката на веригата за доставки. Първо, хакерите пуснаха злонамерения софтуер Sunspot на сървър за изграждане веднага след като се случи пробив в мрежата на SolarWinds. Щамът на зловреден софтуер е проектиран с единствена цел - да изчака на сървъра за изграждане, докато открие команда за изграждане, която е сглобила един от основните продукти на SolarWinds - платформата за наблюдение на ИТ ресурси Orion. По това време над 33 000 клиенти са използвали Orion. Когато Sunspot идентифицира правилните обстоятелства за активиране, той тайно ще замени определени файлове с изходен код с повредени, които са отговорни за зареждането на полезния товар от следващия етап - злонамерения софтуер Sunburst. В резултат на това вече троянизираната версия на Orion беше разпространена на клиенти на компанията, които след това заразиха вътрешните си мрежи при изпълнението й.

 Sunburst действаше като инструмент за разузнаване, който събираше данни от системите на компрометираната организация и след това ги предаваше обратно на хакерите. След това събраната информация беше използвана от Nobelium, за да реши дали конкретната жертва е достатъчно важна, за да оправдае по-нататъшна ескалация на атаката. Тези, които бяха счетени, че си струваха риска, бяха подложени на последната фаза на атаката, която се състоеше в разгръщане на по-мощната задна врата Teardrop. Едновременно с доставката на Teardrop, Sunburst беше инструктиран да се изтрие, за да намали отпечатъка на нападателя върху компрометираната система. На няколко избрани жертви хакерите доставиха злонамерен софтуер, който отразява функционално Teardrop, но се различава драстично в основния си код. Наречена Raindrop , тази заплаха от злонамерен софтуер озадачи изследователите, тъй като те не можаха да определят входната й точка, за разлика от Teardrop, който беше изхвърлен директно от зловредния софтуер Sunburst от предишния етап. GoldMax

 Изследователите разкриват нови щамове на злонамерен софтуер, свързани с Нобелиум

 Хакерите на Nobelium не забавят дейността си, както разкриха Microsoft и компанията за сигурност FireEye, които все още наблюдават групата. Изследователите станаха свидетели на няколко нови щамове на злонамерен софтуер, създадени по поръчка, които бяха добавени към арсенала на киберпрестъпниците. Те включват: 

  • GoldMax /Sunshuttle Malware – сложна заплаха за задната врата. Основната му характеристика е възможността да смесва трафика, причинен от комуникацията му със сървърите C2, като избира реферали от списък с легитимни URL адреси на уебсайтове, които включват като Google.com, Facebook.com, Yahoo.com и Bing.com.
  •  Sibot Malware – капкомер от втори етап, който има задачата да постигне постоянство и след това да извлече и изпълни полезния товар от следващия етап от сървърите C2. Неговият заплашителен VBScript файл приема име, подобно на легитимна задача на Windows, и след това се съхранява или в системния регистър, или в замъглен формат на диска на нарушената система.
  •  Зловреден софтуер GoldFinder – високоспециализиран щам на зловреден софтуер, който действа като инструмент за проследяване на HTTP. Заплахата очертава точния маршрут, който пакетите поемат по пътя си към C2 сървърите. След това GoldFinder може да предупреди хакерите на Nobelium за всякакви HTTP прокси сървъри или други пренасочвания, причинени от устройства за мрежова сигурност, внедрени от компрометираната организация.

 Nobelium продължава да разгръща повече персонализирани инструменти, които им помагат да постигнат по-добре своите заплашителни цели. Хакерите вече успяха да компрометират над 18 000 от клиентите на SolarWinds. Сред жертвите са известни технологични компании и правителствени агенции на САЩ.