Nobelium APT

A Nobelium APT tavaly vált a kiberkémkedés meghatározó szereplőjévé, amikor a korábban ismeretlen hackercsoport hatalmas ellátási lánc támadást hajtott végre a SolarWinds szoftverfejlesztő ellen. Akkoriban a Microsoft a Solarigate nevet adta a hackerkollektívának, de később Nobeliumra változtatta. A FireEye kiberbiztonsági cég UNC2542 jelzéssel követi nyomon a csoport tevékenységét.

A SolarWinds támadása

 A SolarWinds elleni feltörés során a Nobelium négy különböző rosszindulatú programtörzset telepített, amelyek segítettek nekik megszervezni az ellátási lánc elleni támadást. Először is, a hackerek azonnal ledobták a Sunspot kártevőt egy build szerverre, miután a SolarWinds hálózatának feltörése megtörtént. A rosszindulatú programtörzset egyetlen céllal tervezték – hogy lesben álljon a build szerveren, amíg nem észlel egy build parancsot, amely a SolarWinds egyik fő termékét – az Orion IT erőforrás-figyelő platformot – összeállította. Abban az időben több mint 33 000 ügyfél használta az Oriont. Amikor a Sunspot azonosítja az aktiválás megfelelő körülményeit, bizonyos forráskódfájlokat lopva lecserél olyan sérült fájlokra, amelyek felelősek a következő fázisú rakomány - a Sunburst malware - betöltéséért. Ennek eredményeként az Orion immár trójai verzióját kiosztották a cég ügyfeleihez, akik a végrehajtás során megfertőzték belső hálózataikat.

 A Sunburst felderítő eszközként működött, amely adatokat gyűjtött a kompromittált szervezet rendszereiből, majd továbbította azokat a hackereknek. Az összegyűjtött információkat aztán Nobelium felhasználta annak eldöntésére, hogy a konkrét áldozat elég fontos-e ahhoz, hogy indokolja a támadás további eszkalációját. Azok, akiket érdemesnek ítéltek kockáztatni, a támadás utolsó fázisának vetették alá, amely az erősebb Teardrop hátsó ajtó bevetéséből állt. A Teardrop kézbesítésével egyidejűleg a Sunburst utasította, hogy törölje magát, hogy csökkentse a támadó lábnyomát a feltört rendszeren. Néhány kiválasztott áldozatnál a hackerek olyan rosszindulatú szoftvert hoztak létre, amely funkcionálisan tükrözte a Teardrop-ot, de a mögöttes kódban drasztikusan különbözött. Ez a Raindrop nevű kártevő megzavarta a kutatókat, mivel nem tudták meghatározni a belépési pontját, ellentétben a Teardrop-pal, amelyet közvetlenül az előző fázisban lévő Sunburst malware dobott ki. GoldMax

 A kutatók új, Nobeliummal kapcsolatos rosszindulatú programtörzseket fedeztek fel

 A Nobelium hackerei nem lassítják tevékenységüket, ahogy azt a Microsoft és a FireEye biztonsági cég is felfedte, akik továbbra is figyelik a csoportot. A kutatók szemtanúi voltak több új, egyedi gyártású malware-törzsnek, amelyek bekerültek a kiberbűnözők arzenáljába. Ezek tartalmazzák: 

• GoldMax /Sunshuttle Malware – kifinomult hátsó ajtó fenyegetés. Fő jellemzője, hogy a C2-szerverekkel folytatott kommunikációjából származó forgalmat összekeverheti azáltal, hogy hivatkozókat választ ki a legitim webhely URL-ek listájából, amelyek között szerepel például a Google.com, a Facebook.com, a Yahoo.com és a Bing.com.
•  A Sibot Malware – egy második fokozatú dropper, amelynek feladata, hogy elérje a kitartást, majd lekérje és végrehajtsa a következő szintű hasznos terhelést a C2 szerverekről. A fenyegető VBScript-fájl egy törvényes Windows-feladathoz hasonló nevet vesz fel, majd a rendszerleíró adatbázisban vagy homályos formátumban a feltört rendszer lemezén tárolódik.
•  A GoldFinder Malware – rendkívül speciális kártevőtörzs, amely HTTP nyomkövető eszközként működik. A fenyegetés pontosan feltérképezi azt az útvonalat, amelyen a csomagok eljutnak a C2 szerverekhez. A GoldFinder ezután figyelmeztetheti a Nobelium hackereket a HTTP-proxyszerverekre vagy más átirányításokra, amelyeket a feltört szervezet által telepített hálózati biztonsági eszközök okoznak.

 A Nobelium továbbra is egyre több egyedi készítésű eszközt bocsát ki, amelyek segítenek nekik jobban elérni fenyegető céljaikat. A hackereknek már több mint 18 000 ügyfelét sikerült kompromittálniuk a SolarWinds ügyfelei közül. Az áldozatok között prominens technológiai cégek és amerikai kormányhivatalok is voltak.