Nobelium APT

Nobelium APT postao je glavni igrač u cyber-špijunažom krajoliku prošle godine kada je dotad nepoznata hakerska skupina izvela masivni napad u lancu opskrbe protiv razvojnog softvera SolarWinds. U to vrijeme, Microsoft je hakerskom kolektivu dodijelio naziv Solarigate, ali ga je kasnije promijenio u Nobelium. Tvrtka za kibernetičku sigurnost FireEye prati aktivnost grupe pod oznakom UNC2542.

SolarWinds napad

 Hak protiv SolarWindsa, vidio je da je Nobelium implementirao četiri različita soja zlonamjernog softvera koji su im pomogli u orkestriranju napada na lanac opskrbe. Prvo, hakeri su bacili Sunspot zlonamjerni softver na poslužitelj za izgradnju odmah nakon što je došlo do proboja SolarWindsove mreže. Soj zlonamjernog softvera dizajniran je s jedinstvenom svrhom - čekati na poslužitelju za izgradnju dok ne otkrije naredbu za izgradnju koja je sastavila jedan od SolarWindsovih glavnih proizvoda - platformu za praćenje IT resursa Orion. U to vrijeme Orion je koristilo više od 33.000 kupaca. Kada Sunspot identificira prave okolnosti za aktivaciju, potajno bi zamijenio određene datoteke izvornog koda oštećenim datotekama koje su odgovorne za učitavanje sljedeće faze - zlonamjernog softvera Sunburst. Kao rezultat toga, sada trojanizirana verzija Oriona distribuirana je klijentima tvrtke koji su potom zarazili svoje interne mreže nakon što su je izvršili.

 Sunburst je djelovao kao izviđački alat koji je prikupljao podatke iz sustava ugrožene organizacije, a zatim ih prenosio nazad hakerima. Nobelium je potom koristio prikupljene informacije kako bi odlučio je li određena žrtva dovoljno važna da opravda daljnju eskalaciju napada. Oni za koje se smatralo da su vrijedni rizika bili su podvrgnuti završnoj fazi napada koja se sastojala od postavljanja snažnijeg stražnjeg vrata Teardrop. Istovremeno s isporukom Teardropa, Sunburst je dobio instrukcije da se izbriše kako bi smanjio napadačev otisak na kompromitiranom sustavu. Na nekoliko odabranih žrtava hakeri su isporučili soj zlonamjernog softvera koji je funkcionalno odražavao Teardrop, ali se drastično razlikovao u svom osnovnom kodu. Nazvana Raindrop , ova prijetnja zlonamjernog softvera zbunila je istraživače jer nisu mogli odrediti njezinu ulaznu točku, za razliku od Teardrop kojeg je izravno izbacio zlonamjerni softver Sunburst prethodne faze. GoldMax

 Istraživači otkrivaju nove vrste zlonamjernog softvera povezane s Nobeliumom

 Hakeri Nobeliuma ne usporavaju svoje aktivnosti, što su otkrili Microsoft i sigurnosna tvrtka FireEye koji još uvijek nadziru grupu. Istraživači su svjedočili nekoliko novih sojeva zlonamjernog softvera izrađenih po narudžbi koji su dodani u arsenal kibernetičkih kriminalaca. To uključuje: 

• GoldMax /Sunshuttle Malware - sofisticirana backdoor prijetnja. Njegova glavna značajka je mogućnost miješanja prometa uzrokovanog komunikacijom s C2 poslužiteljima odabirom preporuka s popisa legitimnih URL-ova web stranica koji uključuju Google.com, Facebook.com, Yahoo.com i Bing.com.
•  Zlonamjerni softver Sibot - ispuštač druge faze koji ima zadatak postići postojanost i zatim dohvaćati i izvršavati korisni teret sljedeće faze s C2 poslužitelja. Njezina prijeteća datoteka VBScript poprima ime slično legitimnom zadatku Windowsa i zatim se pohranjuje u Registry ili u zamagljenom formatu na disku provaljenog sustava.
•  Zlonamjerni softver GoldFinder - visoko specijalizirani soj zlonamjernog softvera koji djeluje kao HTTP alat za praćenje. Prijetnja iscrtava točan put kojim paketi idu na svom putu do C2 poslužitelja. GoldFinder tada može upozoriti Nobelium hakere na bilo kakve HTTP proxy poslužitelje ili druga preusmjeravanja uzrokovana mrežnim sigurnosnim uređajima koje je postavila ugrožena organizacija.

 Nobelium nastavlja s oslobađanjem više prilagođenih alata koji im pomažu da bolje postižu svoje prijeteće ciljeve. Hakeri su već uspjeli kompromitirati preko 18.000 korisnika SolarWindsa. Među žrtvama su bile istaknute tehnološke tvrtke i američke vladine agencije.