Nobelium APT

Nobelium APT Kirjeldus

Nobelium APT sai küberspionaaži maastikul oluliseks tegijaks eelmisel aastal, kui seni tundmatu häkkerirühmitus korraldas ulatusliku tarneahela rünnaku tarkvaraarendaja SolarWindsi vastu. Sel ajal määras Microsoft häkkerite kollektiivile nime Solarigate, kuid muutis selle hiljem Nobeliumiks. Küberturvalisuse ettevõte FireEye jälgib grupi tegevust UNC2542 nimetuse all.

SolarWinds Attack

 SolarWindsi vastase häkkimise käigus kasutas Nobelium neli erinevat pahavara tüve, mis aitasid neil tarneahela rünnakut korraldada. Esiteks viskasid häkkerid Sunspoti pahavara ehitusserverisse kohe pärast SolarWindsi võrgu rikkumise toimumist. Pahavara tüvi oli loodud ainulaadse eesmärgiga – ootama ehitusserveris, kuni see tuvastab ehituskäskluse, mis koondas ühe SolarWindsi põhitoote – IT-ressursside jälgimisplatvormi Orion. Sel ajal kasutas Orionit üle 33 000 kliendi. Kui Sunspot tuvastab aktiveerimiseks õiged asjaolud, asendab see vargsi teatud lähtekoodifailid rikutud failidega, mis vastutasid järgmise etapi kasuliku koormuse – Sunbursti pahavara – laadimise eest. Selle tulemusena levitati Orioni nüüdseks troojastatud versioon ettevõtte klientidele, kes nakatasid selle käivitamisel oma sisevõrke.

 Sunburst toimis luuretööriistana, mis kogus andmeid ohustatud organisatsiooni süsteemidest ja edastas need seejärel häkkeritele. Seejärel kasutas Nobelium kogutud teavet, et otsustada, kas konkreetne ohver on piisavalt oluline, et õigustada rünnaku edasist eskaleerumist. Need, keda peeti riski väärt, viidi läbi rünnaku viimases etapis, mis seisnes võimsama Teardropi tagaukse kasutuselevõtmises. Samaaegselt Teardropi tarnimisega kästi Sunburstil end kustutada, et vähendada ründaja jalajälge ohustatud süsteemis. Mõne valitud ohvri puhul edastasid häkkerid pahavara tüve, mis peegeldas Teardropi funktsionaalselt, kuid erines selle aluseks olevast koodist drastiliselt. See pahavaraoht nimega Raindrop tekitas teadlastes hämmingut, kuna nad ei suutnud kindlaks teha selle sisenemispunkti, erinevalt Teardropist, mille eelmise etapi Sunbursti pahavara tõrjus otse. GoldMax

 Teadlased avastasid uusi Nobeliumiga seotud pahavara tüvesid

 Nobeliumi häkkerid ei aeglusta oma tegevust, nagu näitasid gruppi endiselt jälgivad Microsoft ja FireEye turvafirma. Teadlased on olnud tunnistajaks mitmetele uutele kohandatud pahavara tüvedele, mis on lisatud küberkurjategijate arsenali. Need sisaldavad: 

  • Goldmax / Sunshuttle Malware - keerukas tagauks oht. Selle peamine funktsioon on võime kombineerida C2-serveritega suhtlemisest põhjustatud liiklust, valides viitajad seaduslike veebisaitide URL-ide loendist, mis hõlmavad näiteks Google.com, Facebook.com, Yahoo.com ja Bing.com.
  •  Siboti pahavara – teise astme tilguti, mille ülesandeks on saavutada püsivus ning seejärel tuua ja käivitada järgmise astme kasulik koormus C2 serveritest. Selle ähvardaval VBScript-failil on nimi, mis sarnaneb legitiimse Windowsi ülesandega, ja seejärel salvestatakse see registrisse või rikutud süsteemi kettale segatud vormingus.
  •  GoldFinderi pahavara – kõrgelt spetsialiseerunud pahavara tüvi, mis toimib HTTP jälgimistööriistana. Oht kaardistab täpse marsruudi, mille paketid C2-serveritesse viivad. GoldFinder saab seejärel hoiatada Nobeliumi häkkereid mis tahes HTTP-puhverserveritest või muudest ümbersuunamistest, mis on põhjustatud ohustatud organisatsiooni poolt kasutusele võetud võrguturbeseadmetest.

 Nobelium jätkab rohkemate eritellimusel valmistatud tööriistade vallandamist, mis aitavad neil oma ähvardavaid eesmärke paremini saavutada. Häkkeritel õnnestus juba üle 18 000 SolarWindsi kliendi kompromiteerida. Ohvrite hulgas olid tuntud tehnoloogiaettevõtted ja USA valitsusasutused.