Nobelium APT

Nobelium APT Περιγραφή

Το Nobelium APT έγινε σημαντικός παίκτης στο τοπίο της κυβερνοκατασκοπείας πέρυσι, όταν η μέχρι πρότινος άγνωστη ομάδα χάκερ πραγματοποίησε μια μαζική επίθεση εφοδιαστικής αλυσίδας εναντίον της εταιρείας ανάπτυξης λογισμικού SolarWinds. Εκείνη την εποχή, η Microsoft έδωσε το όνομα Solarigate στην ομάδα των χάκερ, αλλά αργότερα το άλλαξε σε Nobelium. Η εταιρεία κυβερνοασφάλειας FireEye παρακολουθεί τη δραστηριότητα της ομάδας με την ονομασία UNC2542.

Η επίθεση SolarWinds

 Το χακάρισμα κατά της SolarWinds, είδε το Nobelium να αναπτύσσει τέσσερα διαφορετικά στελέχη κακόβουλου λογισμικού που τους βοήθησαν να ενορχηστρώσουν την επίθεση στην αλυσίδα εφοδιασμού. Πρώτον, οι χάκερ έριξαν το κακόβουλο λογισμικό Sunspot σε έναν διακομιστή κατασκευής αμέσως μετά την παραβίαση του δικτύου της SolarWinds. Το στέλεχος κακόβουλου λογισμικού σχεδιάστηκε με έναν μοναδικό σκοπό - να περιμένει στον διακομιστή δημιουργίας έως ότου ανιχνεύσει μια εντολή δημιουργίας που συναρμολόγησε ένα από τα κύρια προϊόντα της SolarWinds - την πλατφόρμα παρακολούθησης πόρων πληροφορικής Orion. Την εποχή εκείνη, περισσότεροι από 33.000 πελάτες χρησιμοποιούσαν το Orion. Όταν το Sunspot εντοπίζει τις κατάλληλες συνθήκες για ενεργοποίηση, θα αντικαθιστούσε κρυφά ορισμένα αρχεία πηγαίου κώδικα με κατεστραμμένα που ήταν υπεύθυνα για τη φόρτωση του ωφέλιμου φορτίου επόμενου σταδίου - του κακόβουλου λογισμικού Sunburst. Ως αποτέλεσμα, η τρωανοποιημένη πλέον έκδοση του Orion διανεμήθηκε στους πελάτες της εταιρείας, οι οποίοι στη συνέχεια μόλυναν τα εσωτερικά τους δίκτυα κατά την εκτέλεσή της.

 Το Sunburst λειτούργησε ως εργαλείο αναγνώρισης που συνέλεγε δεδομένα από τα συστήματα του παραβιασμένου οργανισμού και στη συνέχεια τα μετέδωσε στους χάκερ. Οι πληροφορίες που συγκεντρώθηκαν στη συνέχεια χρησιμοποιήθηκαν από το Nobelium για να αποφασίσει εάν το συγκεκριμένο θύμα ήταν αρκετά σημαντικό ώστε να δικαιολογεί περαιτέρω κλιμάκωση της επίθεσης. Αυτά που κρίθηκαν άξια του κινδύνου υποβλήθηκαν στην τελική φάση της επίθεσης που συνίστατο στην ανάπτυξη της πιο ισχυρής κερκόπορτας Teardrop. Ταυτόχρονα με την παράδοση του Teardrop, η Sunburst έλαβε οδηγίες να διαγραφεί για να μειώσει το αποτύπωμα του εισβολέα στο παραβιασμένο σύστημα. Σε ορισμένα επιλεγμένα θύματα, οι χάκερ παρέδωσαν ένα είδος κακόβουλου λογισμικού που αντικατόπτριζε λειτουργικά το Teardrop αλλά διέφερε δραστικά στον υποκείμενο κώδικα του. Ονομάζεται Raindrop , αυτή η απειλή κακόβουλου λογισμικού μπέρδεψε τους ερευνητές καθώς δεν μπορούσαν να προσδιορίσουν το σημείο εισόδου του, σε αντίθεση με το Teardrop που έπεσε απευθείας από το κακόβουλο λογισμικό Sunburst προηγούμενου σταδίου. GoldMax

 Ερευνητές ανακαλύπτουν νέα στελέχη κακόβουλου λογισμικού που σχετίζονται με το Nobelium

 Οι χάκερ του Nobelium δεν επιβραδύνουν τις δραστηριότητές τους, όπως αποκάλυψε η Microsoft και η εταιρεία ασφαλείας FireEye που εξακολουθούν να παρακολουθούν την ομάδα. Οι ερευνητές έχουν γίνει μάρτυρες πολλών νέων προσαρμοσμένων τύπων κακόβουλου λογισμικού που έχουν προστεθεί στο οπλοστάσιο των εγκληματιών του κυβερνοχώρου. Αυτά περιλαμβάνουν: 

  • Κακόβουλο λογισμικό GoldMax /Sunshuttle - μια εξελιγμένη απειλή κερκόπορτας. Το κύριο χαρακτηριστικό του είναι η δυνατότητα συνδυασμού της επισκεψιμότητας που προκαλείται από την επικοινωνία με τους διακομιστές C2 επιλέγοντας παραπομπές από μια λίστα νόμιμων διευθύνσεων URL ιστοτόπων που περιλαμβάνουν τα Google.com, Facebook.com, Yahoo.com και Bing.com.
  •  Το κακόβουλο λογισμικό Sibot - ένα σταγονόμετρο δεύτερου σταδίου που έχει ως αποστολή την επίτευξη επιμονής και στη συνέχεια την ανάκτηση και εκτέλεση του ωφέλιμου φορτίου επόμενου σταδίου από τους διακομιστές C2. Το απειλητικό αρχείο VBScript λαμβάνει ένα όνομα παρόμοιο με μια νόμιμη εργασία των Windows και στη συνέχεια αποθηκεύεται είτε στο Μητρώο είτε σε μια ασαφή μορφή στο δίσκο του συστήματος που έχει παραβιαστεί.
  •  Το GoldFinder Malware - εξαιρετικά εξειδικευμένο στέλεχος κακόβουλου λογισμικού που λειτουργεί ως εργαλείο ανίχνευσης HTTP. Η απειλή χαρτογραφεί την ακριβή διαδρομή που ακολουθούν τα πακέτα στο δρόμο τους προς τους διακομιστές C2. Το GoldFinder μπορεί στη συνέχεια να ειδοποιήσει τους χάκερ Nobelium για τυχόν διακομιστές μεσολάβησης HTTP ή άλλες ανακατευθύνσεις που προκαλούνται από συσκευές ασφαλείας δικτύου που αναπτύσσονται από τον παραβιασμένο οργανισμό.

 Η Nobelium συνεχίζει να απελευθερώνει περισσότερα ειδικά κατασκευασμένα εργαλεία που τους βοηθούν να επιτύχουν καλύτερα τους απειλητικούς στόχους τους. Οι χάκερ κατάφεραν ήδη να συμβιβάσουν περισσότερους από 18.000 πελάτες της SolarWinds. Ανάμεσα στα θύματα ήταν εξέχουσες εταιρείες τεχνολογίας και κυβερνητικές υπηρεσίες των ΗΠΑ.