Nobel APT

Nobel APT Description

El Nobelium APT es va convertir en un actor important en el panorama del ciberespionatge l'any passat quan el grup de pirates informàtics desconegut anteriorment va dur a terme un atac massiu a la cadena de subministrament contra el desenvolupador de programari SolarWinds. En aquell moment, Microsoft va assignar el nom Solarigate al col·lectiu de pirates informàtics, però més tard el va canviar per Nobelium. L'empresa de ciberseguretat FireEye fa un seguiment de l'activitat del grup sota la designació UNC2542.

L' atac de SolarWinds

 El pirateig contra SolarWinds va veure que Nobelium desplegava quatre soques de programari maliciós diferents que els van ajudar a orquestrar l'atac a la cadena de subministrament. Primer, els pirates informàtics van deixar caure el programari maliciós Sunspot en un servidor de compilació immediatament després que es produís la violació de la xarxa de SolarWinds. La varietat de programari maliciós es va dissenyar amb un propòsit singular: esperar al servidor de compilació fins que detecti una ordre de compilació que va reunir un dels productes principals de SolarWinds: la plataforma de monitorització de recursos informàtics Orion. En aquell moment, més de 33.000 clients utilitzaven Orion. Quan Sunspot identifica les circumstàncies adequades per activar-se, substituiria furtivament determinats fitxers de codi font per altres de corruptes que eren responsables de carregar la càrrega útil de la següent etapa: el programari maliciós Sunburst. Com a resultat, la versió ara troianitzada d' Orion es va distribuir als clients de l'empresa que després van infectar les seves xarxes internes en executar-la.

 Sunburst va actuar com una eina de reconeixement que recopilava dades dels sistemes de l'organització compromesa i després les transmetia als pirates informàtics. La informació recopilada va ser utilitzada per Nobelium per decidir si la víctima específica era prou important com per justificar una escalada més gran de l'atac. Aquells que es considerava que valien la pena el risc van ser sotmesos a la fase final de l'atac que consistia a desplegar la porta del darrere Teardrop més potent. Simultàniament amb el lliurament de Teardrop, Sunburst va rebre instruccions que s'eliminés per reduir la petjada de l'atacant al sistema compromès. En unes poques víctimes escollides, els pirates informàtics van lliurar una soca de programari maliciós que reflectia funcionalment Teardrop, però diferia dràsticament en el seu codi subjacent. Anomenada Raindrop , aquesta amenaça de programari maliciós va desconcertar els investigadors, ja que no van poder determinar el seu punt d'entrada, a diferència de Teardrop, que va deixar caure directament pel programari maliciós Sunburst de l'etapa anterior. GoldMax

 Els investigadors descobreixen noves soques de programari maliciós relacionades amb Nobelium

 Els pirates informàtics Nobelium no estan alentint les seves activitats, tal com van revelar Microsoft i l'empresa de seguretat FireEye que encara estan supervisant el grup. Els investigadors han estat testimonis de diverses noves soques de programari maliciós personalitzats que s'han afegit a l'arsenal de ciberdelinqüents. Això inclou: 

  • GoldMax / Sunshuttle Malware: una amenaça sofisticada de la porta del darrere. La seva característica principal és la capacitat de combinar el trànsit causat per la seva comunicació amb els servidors C2 seleccionant referències d'una llista d'URL legítims de llocs web que inclouen Google.com, Facebook.com, Yahoo.com i Bing.com.
  •  El programari maliciós Sibot : un dropper de segona etapa que té l'encàrrec d'aconseguir la persistència i després obtenir i executar la càrrega útil de la següent etapa dels servidors C2. El seu amenaçador fitxer VBScript assumeix un nom similar a una tasca legítima de Windows i després s'emmagatzema al Registre o en un format ofuscat al disc del sistema violat.
  •  El programari maliciós GoldFinder : una varietat de programari maliciós altament especialitzat que actua com a eina de traçador HTTP. L'amenaça dibuixa la ruta exacta que prenen els paquets en el seu camí cap als servidors C2. Aleshores, GoldFinder pot alertar els pirates informàtics de Nobelium de qualsevol servidor intermediari HTTP o altres redireccions causades pels dispositius de seguretat de xarxa desplegats per l'organització compromesa.

 Nobelium continua llançant més eines personalitzades que els ajuden a assolir millor els seus objectius amenaçadors. Els pirates informàtics ja van aconseguir comprometre més de 18.000 clients de SolarWinds. Entre les víctimes hi havia destacades empreses tecnològiques i agències governamentals dels EUA.