Nobelium APT

Nobelium APT Kuvaus

Nobelium APT:stä tuli merkittävä toimija kybervakoilumaailmassa viime vuonna, kun aiemmin tuntematon hakkeriryhmä suoritti massiivisen toimitusketjuhyökkäyksen ohjelmistokehittäjä SolarWindsia vastaan. Tuolloin Microsoft antoi hakkerikollektiiville nimen Solarigate, mutta muutti sen myöhemmin Nobeliumiksi. Kyberturvallisuusyritys FireEye seuraa ryhmän toimintaa UNC2542-tunnuksella.

Solarwinds hyökkäys

 SolarWindsia vastaan tehty hakkerointi näki Nobeliumin ottavan käyttöön neljä erilaista haittaohjelmakantaa, jotka auttoivat heitä organisoimaan toimitusketjun hyökkäyksen. Ensinnäkin hakkerit pudottivat Sunspot- haittaohjelman rakennuspalvelimelle välittömästi sen jälkeen, kun SolarWindsin verkkomurto tapahtui. Haittaohjelmakanta suunniteltiin ainutlaatuisella tarkoituksella - odottaa koontipalvelimella, kunnes se havaitsee rakennuskomennon, joka kokosi yhden SolarWindin päätuotteista - IT-resurssien seurantaalustan Orionin. Orionilla oli tuolloin yli 33 000 asiakasta. Kun Sunspot tunnistaa oikeat olosuhteet aktivointiin, se vaikeuttaisi tietyt lähdekooditiedostot korruptoituneilla tiedostoilla, jotka olivat vastuussa seuraavan vaiheen hyötykuorman - Sunburst- haittaohjelman - lataamisesta. Tämän seurauksena Orionin nyt troijalaisversio jaettiin yhtiön asiakkaille, jotka sitten tartunnansa sisäisten verkkojensa toteuttamisen yhteydessä.

 Sunburst toimi tiedustelutyökaluna, joka keräsi tietoja vaarantuneen organisaation järjestelmistä ja välitti sen sitten takaisin hakkereille. Nobelium käytti kerättyjä tietoja sitten päättääkseen, oliko tietty uhri tarpeeksi tärkeä oikeuttamaan hyökkäyksen eskaloitumisen edelleen. Ne, jotka katsottiin riskin arvoisiksi, joutuivat hyökkäyksen viimeiseen vaiheeseen, joka koostui tehokkaamman Teardrop- takaoven käyttöönotosta. Samanaikaisesti Teardropin toimituksen kanssa Sunburstia kehotettiin poistamaan itsensä, jotta hyökkääjän jalanjälki vaarantuneessa järjestelmässä pienenisi. Muutamille valituille uhreille hakkerit toimittivat haittaohjelmakannan, joka heijasti Teardropia toiminnallisesti, mutta erosi taustalla olevasta koodistaan rajusti. Tämä Raindrop-niminen haittaohjelmauhka hämmentyi tutkijoita, koska he eivät pystyneet määrittämään sen tulokohtaa, toisin kuin Teardrop, jonka edellisen vaiheen Sunburst-haittaohjelma pudotti suoraan. GoldMax

 Tutkijat paljastavat uusia Nobeliumiin liittyviä haittaohjelmakantoja

 Nobelium-hakkerit eivät hidasta toimintaansa, kuten Microsoft ja FireEye-tietoturvayhtiö, jotka edelleen valvovat ryhmää, paljastavat. Tutkijat ovat nähneet useita uusia räätälöityjä haittaohjelmakantoja, jotka on lisätty kyberrikollisten arsenaaliin. Nämä sisältävät: 

  • GoldMax /Sunshuttle-haittaohjelma – hienostunut takaoven uhka. Sen pääominaisuus on kyky yhdistää C2-palvelimien kanssa tapahtuvan viestinnän aiheuttamaa liikennettä valitsemalla viittauksia laillisten verkkosivustojen URL-osoitteiden luettelosta, joka sisältää esimerkiksi Google.comin, Facebook.comin, Yahoo.comin ja Bing.comin.
  •  Sibot-haittaohjelma – toisen vaiheen dropperi, jonka tehtävänä on saavuttaa pysyvyys ja sitten hakea ja suorittaa seuraavan vaiheen hyötykuorma C2-palvelimista. Sen uhkaava VBScript-tiedosto saa nimen, joka on samanlainen kuin laillinen Windows-tehtävä, ja se tallennetaan sitten joko rekisteriin tai hämärässä muodossa rikotun järjestelmän levylle.
  •  GoldFinder Malware – pitkälle erikoistunut haittaohjelmakanta, joka toimii HTTP-seurantatyökaluna. Uhka kartoittaa tarkan reitin, jonka paketit kulkevat matkallaan C2-palvelimille. GoldFinder voi sitten varoittaa Nobelium-hakkereita kaikista HTTP-välityspalvelimista tai muista uudelleenohjauksista, jotka ovat aiheutuneet vaarantuneen organisaation käyttöönottamista verkon suojauslaitteista.

 Nobelium jatkaa räätälöityjen työkalujen vapauttamista, jotka auttavat heitä saavuttamaan uhkaavat tavoitteensa paremmin. Hakkerit ovat jo onnistuneet vaarantamaan yli 18 000 SolarWindsin asiakasta. Uhrien joukossa oli huomattavia teknologiayrityksiä ja Yhdysvaltain valtion virastoja.