Nobelium APT

Nobelium APT Descrizione

Il Nobelium APT è diventato uno dei principali attori nel panorama dello spionaggio informatico lo scorso anno, quando il gruppo di hacker precedentemente sconosciuto ha effettuato un massiccio attacco alla catena di approvvigionamento contro lo sviluppatore di software SolarWinds. A quel tempo, Microsoft ha assegnato il nome Solarigate al collettivo di hacker, ma in seguito lo ha cambiato in Nobelium. La società di sicurezza informatica FireEye tiene traccia dell'attività del gruppo con la designazione UNC2542.

L' attacco di SolarWinds

 L'hacking contro SolarWinds ha visto Nobelium implementare quattro diversi ceppi di malware che li hanno aiutati a orchestrare l'attacco alla catena di approvvigionamento. Innanzitutto, gli hacker hanno rilasciato il malware Sunspot su un server di build immediatamente dopo che si è verificata la violazione della rete di SolarWinds. Il ceppo malware è stato progettato con un unico scopo: rimanere in attesa sul server di compilazione fino a quando non rileva un comando di compilazione che ha assemblato uno dei prodotti principali di SolarWinds: la piattaforma di monitoraggio delle risorse IT Orion. All'epoca oltre 33.000 clienti utilizzavano Orion. Quando Sunspot identifica le circostanze giuste per l'attivazione, sostituisce furtivamente alcuni file di codice sorgente con file danneggiati responsabili del caricamento del payload della fase successiva: il malware Sunburst. Di conseguenza, la versione ormai trojan di Orion è stata distribuita ai clienti dell'azienda che hanno infettato le loro reti interne dopo averla eseguita.

 Sunburst ha agito come uno strumento di ricognizione che raccoglieva dati dai sistemi dell'organizzazione compromessa e poi li ritrasmetteva agli hacker. Le informazioni raccolte sono state quindi utilizzate da Nobelium per decidere se la vittima specifica fosse abbastanza importante da giustificare un'ulteriore escalation dell'attacco. Quelli che sono stati ritenuti degni del rischio sono stati sottoposti alla fase finale dell'attacco che consisteva nel dispiegare la più potente backdoor di Teardrop. Contemporaneamente alla consegna di Teardrop, Sunburst è stato incaricato di cancellarsi per ridurre l'impronta dell'aggressore sul sistema compromesso. Su poche vittime selezionate, gli hacker hanno fornito un ceppo di malware che rispecchiava Teardrop funzionalmente ma differiva drasticamente nel codice sottostante. Chiamata Raindrop, questa minaccia malware ha sconcertato i ricercatori in quanto non sono stati in grado di determinare il suo punto di ingresso, a differenza di Teardrop che è stato lasciato cadere direttamente dal malware Sunburst nella fase precedente. GoldMax

 I ricercatori scoprono nuovi ceppi di malware correlati al Nobelium

 Gli hacker di Nobelium non stanno rallentando le loro attività, come rivelato da Microsoft e dalla società di sicurezza FireEye che stanno ancora monitorando il gruppo. I ricercatori hanno assistito a diversi nuovi ceppi di malware personalizzati che sono stati aggiunti all'arsenale dei criminali informatici. Questi includono: 

  • GoldMax / Sunshuttle Malware: una sofisticata minaccia backdoor. La sua caratteristica principale è la capacità di miscelare il traffico causato dalla sua comunicazione con i server C2 selezionando i referrer da un elenco di URL di siti Web legittimi che includono Google.com, Facebook.com, Yahoo.com e Bing.com.
  •  Sibot Malware: un contagocce di seconda fase che ha il compito di ottenere la persistenza e quindi di recuperare ed eseguire il carico utile della fase successiva dai server C2. Il suo minaccioso file VBScript assume un nome simile a un'attività legittima di Windows e viene quindi memorizzato nel registro o in un formato offuscato sul disco del sistema violato.
  •  GoldFinder Malware: un ceppo di malware altamente specializzato che funge da strumento di traccia HTTP. La minaccia traccia il percorso esatto che i pacchetti intraprendono per raggiungere i server C2. GoldFinder può quindi avvisare gli hacker Nobelium di qualsiasi server proxy HTTP o altri reindirizzamenti causati da dispositivi di sicurezza di rete implementati dall'organizzazione compromessa.

 Nobelium continua a rilasciare strumenti più personalizzati che li aiutano a raggiungere meglio i loro obiettivi minacciosi. Gli hacker sono già riusciti a compromettere oltre 18.000 clienti di SolarWinds. Tra le vittime c'erano importanti aziende tecnologiche e agenzie governative degli Stati Uniti.