Nobelium APT

Nobelium APT se loni stalo významným hráčem na poli kybernetické špionáže, když dříve neznámá hackerská skupina provedla masivní útok na dodavatele softwaru SolarWinds. V té době Microsoft přiřadil název Solarigate kolektivu hackerů, ale později jej změnil na Nobelium. Společnost FireEye pro kybernetickou bezpečnost sleduje činnost skupiny pod označením UNC2542.

SolarWinds útok

 Hack proti SolarWinds viděl Nobelium nasadit čtyři různé kmeny malwaru, které jim pomohly zorganizovat útok na dodavatelský řetězec. Za prvé, hackeři umístili malware Sunspot na sestavení serveru ihned poté, co došlo k narušení sítě SolarWinds. Kmen malwaru byl navržen s jediným účelem – čekat na sestavení serveru, dokud nezjistí příkaz k sestavení, který sestavil jeden z hlavních produktů SolarWinds – platformu pro monitorování IT zdrojů Orion. Orion v té době používalo přes 33 000 zákazníků. Když Sunspot identifikuje správné okolnosti pro aktivaci, pokradmu nahradí určité soubory zdrojového kódu poškozenými, které byly zodpovědné za načtení užitečného zatížení další fáze – malware Sunburst. Výsledkem bylo, že nyní trojanizovaná verze Orionu byla distribuována klientům společnosti, kteří poté při jejím spuštění infikovali své vnitřní sítě.

 Sunburst fungoval jako průzkumný nástroj, který shromažďoval data ze systémů napadené organizace a poté je předával zpět hackerům. Shromážděné informace pak Nobelium použilo k rozhodnutí, zda je konkrétní oběť natolik důležitá, aby zaručila další eskalaci útoku. Ti, kteří byli považováni za hodné rizika, byli vystaveni závěrečné fázi útoku, která spočívala v nasazení výkonnějších zadních vrátek Teardrop. Současně s doručením Teardrop byl Sunburst instruován, aby se vymazal, aby se zmenšila stopa útočníka na kompromitovaném systému. Na několik vybraných obětí hackeři dodali kmen malwaru, který funkčně zrcadlil Teardrop, ale drasticky se lišil ve svém základním kódu. Tato malwarová hrozba s názvem Raindrop zmátla výzkumníky, protože nedokázali určit její vstupní bod, na rozdíl od Teardrop, který byl vypuštěn přímo malwarem Sunburst v předchozí fázi. GoldMax

 Výzkumníci odhalují nové kmeny malwaru související s Nobelium

 Hackeři z Nobelium nezpomalují své aktivity, jak odhalil Microsoft a bezpečnostní společnost FireEye, kteří skupinu stále monitorují. Výzkumníci byli svědky několika nových kmenů malwaru vytvořených na zakázku, které byly přidány do arzenálu kyberzločinců. Tyto zahrnují: 

• GoldMax /Sunshuttle Malware - sofistikovaná hrozba zadních vrátek. Jeho hlavním rysem je schopnost kombinovat provoz způsobený jeho komunikací se servery C2 výběrem referrerů ze seznamu legitimních adres URL webových stránek, které zahrnují například Google.com, Facebook.com, Yahoo.com a Bing.com.
•  Sibot Malware – dropper druhé fáze, který má za úkol dosáhnout vytrvalosti a poté načíst a spustit další fázi užitečného zatížení ze serverů C2. Jeho hrozivý soubor VBScript převezme název podobný legitimní úloze systému Windows a poté je uložen buď v registru, nebo v obfuskovaném formátu na disku prolomeného systému.
•  The GoldFinder Malware – vysoce specializovaný kmen malwaru, který funguje jako nástroj pro sledování HTTP. Hrozba mapuje přesnou cestu, kterou se pakety ubírají na serverech C2. GoldFinder pak může upozornit hackery Nobelium na jakékoli HTTP proxy servery nebo jiná přesměrování způsobená síťovými bezpečnostními zařízeními nasazenými napadenou organizací.

 Nobelium pokračuje ve vydávání dalších nástrojů vyrobených na míru, které jim pomohou lépe dosáhnout jejich ohrožujících cílů. Hackerům se již podařilo kompromitovat více než 18 000 zákazníků SolarWinds. Mezi oběťmi byly prominentní technologické společnosti a americké vládní agentury.