Nobelium APT

Nobelium APT תיאור

ה-Nobelium APT הפך לשחקן מרכזי בנוף ריגול הסייבר בשנה שעברה, כאשר קבוצת האקרים שלא הייתה ידועה בעבר ביצעה התקפת שרשרת אספקה מסיבית נגד מפתחת התוכנה SolarWinds. בזמנו, מיקרוסופט הקצתה את השם Solarigate לקולקטיב ההאקרים, אך מאוחר יותר שינתה אותו לנובליום. חברת אבטחת הסייבר FireEye עוקבת אחר פעילות הקבוצה תחת ייעוד UNC2542.

SolarWinds התקפה

 הפריצה נגד SolarWinds, ראתה את נובליום פורס ארבעה זני תוכנה זדוניות שונים שעזרו להם לתזמר את התקפת שרשרת האספקה. ראשית, ההאקרים הפילו את התוכנה הזדונית של Sunspot על שרת בנייה מיד לאחר שהתרחשה הפריצה לרשת של SolarWinds. זן התוכנה תוכננה במטרה יחידה - להמתין על שרת ה-build עד שיזהה פקודת בנייה שהרכיבה את אחד המוצרים העיקריים של SolarWinds - פלטפורמת ניטור משאבי ה-IT Orion. באותה תקופה יותר מ-33,000 לקוחות השתמשו באוריון. כאשר Sunspot מזהה את הנסיבות הנכונות להפעלה, היא תחליף בגניבה קבצי קוד מקור מסוימים בקבצי קוד מקור פגומים שהיו אחראים לטעינת המטען בשלב הבא - התוכנה הזדונית Sunburst. כתוצאה מכך, הגרסה הטרויאנית של אוריון הופצה ללקוחות החברה שהדביקו את הרשתות הפנימיות שלהם עם ביצועה.

 Sunburst פעל ככלי סיור שאסף נתונים ממערכות הארגון שנפגע ולאחר מכן העביר אותם בחזרה להאקרים. המידע שנאסף שימש אז את נובליום כדי להחליט אם הקורבן הספציפי חשוב מספיק כדי להצדיק הסלמה נוספת של המתקפה. אלו שנחשבו שווים את הסיכון היו נתונים לשלב הסופי של המתקפה שכלל פריסת הדלת האחורית החזקה יותר של Teardrop. במקביל למסירה של Teardrop, Sunburst קיבל הוראה למחוק את עצמה כדי לצמצם את טביעת הרגל של התוקף על המערכת שנפגעה. על כמה קורבנות נבחרים, ההאקרים סיפקו זן תוכנות זדוניות ששיקף את Teardrop מבחינה תפקודית, אך שונה באופן דרסטי בקוד הבסיסי שלו. שנקרא Raindrop , איום התוכנה הזדונית הזו בלבל את החוקרים מכיוון שהם לא יכלו לקבוע את נקודת הכניסה שלו, בניגוד ל-Teardrop שנפל ישירות על ידי תוכנת זדונית Sunburst בשלב הקודם. גולדמקס

 חוקרים חושפים זני תוכנה זדונית חדשים הקשורים לנובליום

 ההאקרים של נובליום לא מאטים את פעילותם, כפי שנחשפו על ידי מיקרוסופט וחברת האבטחה FireEye שעדיין עוקבות אחר הקבוצה. החוקרים היו עדים למספר זני תוכנות זדוניות חדשות בהתאמה אישית שנוספו לארסנל פושעי הסייבר. אלו כוללים: 

  • GoldMax / Sunshuttle Malware - איום אחורי מתוחכם. התכונה העיקרית שלו היא היכולת למזג את התעבורה הנגרמת מהתקשורת שלו עם שרתי C2 על ידי בחירת מפנים מתוך רשימה של כתובות אתרים לגיטימיות הכוללות דוגמיות של Google.com, Facebook.com, Yahoo.com ו- Bing.com.
  •  ה- Sibot Malware - מטפטף שלב שני שמופקד על השגת התמדה ולאחר מכן שליפה וביצוע של מטען השלב הבא משרתי C2. קובץ ה-VBScript המאיים שלו מקבל שם דומה למשימה לגיטימית של Windows ולאחר מכן מאוחסן ב-Registry או בפורמט מעורפל בדיסק של המערכת שנפרצה.
  •  התוכנה הזדונית של GoldFinder - זן תוכנות זדוניות המתמחה ביותר הפועל ככלי מעקב אחר HTTP. האיום ממפה את המסלול המדויק שעוברות החבילות בדרכן לשרתי C2. GoldFinder יכול אז להזהיר את האקרים של Nobelium על כל שרתי פרוקסי HTTP או ניתוב אחר שנגרם על ידי התקני אבטחת רשת שנפרסו על ידי הארגון שנפגע.

 Nobelium ממשיכה לשחרר עוד כלים מותאמים אישית שעוזרים להם להשיג טוב יותר את המטרות המאיימות שלהם. ההאקרים כבר הצליחו להתפשר על למעלה מ-18,000 מלקוחות SolarWinds. בין הקורבנות היו חברות טכנולוגיה בולטות וסוכנויות ממשלתיות בארה"ב.