Nobelium APT

Nobelium APT Aprašymas

„Nobelium APT“ tapo pagrindiniu kibernetinio šnipinėjimo žaidėju praėjusiais metais, kai anksčiau nežinoma įsilaužėlių grupė surengė didžiulę tiekimo grandinės ataką prieš programinės įrangos kūrėją „SolarWinds“. Tuo metu „Microsoft“ įsilaužėlių kolektyvui suteikė pavadinimą „Solarigate“, bet vėliau pakeitė jį į „Nobelium“. Kibernetinio saugumo įmonė „FireEye“ seka grupės veiklą pagal UNC2542 pavadinimą.

SolarWinds“ ataka

 „SolarWinds“ įsilaužimas parodė, kad „Nobelium“ įdiegė keturias skirtingas kenkėjiškų programų padermes, kurios padėjo jiems surengti tiekimo grandinės ataką. Pirma, įsilaužėliai iš karto po SolarWinds tinklo pažeidimo numetė Sunspot kenkėjišką programą statybos serveryje. Kenkėjiškos programinės įrangos padermė buvo sukurta siekiant išskirtinio tikslo – laukti kūrimo serveryje, kol aptiks kūrimo komandą, kuri surinko vieną iš pagrindinių „SolarWinds“ produktų – IT išteklių stebėjimo platformą „Orion“. Tuo metu „Orion“ naudojosi daugiau nei 33 000 klientų. Kai „Sunspot“ nustato tinkamas suaktyvinimo aplinkybes, jis slapta pakeistų tam tikrus šaltinio kodo failus sugadintais failais, kurie buvo atsakingi už naujo etapo naudingosios apkrovos įkėlimą – „ Sunburst“ kenkėjišką programą. Dėl to dabar trojanizuota „ Orion“ versija buvo išplatinta bendrovės klientams, kurie ją vykdydami užkrėtė savo vidinius tinklus.

 „Sunburst“ veikė kaip žvalgybos įrankis, kuris rinko duomenis iš pažeistos organizacijos sistemų ir perdavė juos įsilaužėliams. Surinkta informacija vėliau Nobelijus nusprendė nuspręsti, ar konkreti auka buvo pakankamai svarbi, kad pateisintų tolesnį išpuolio eskalavimą. Tie, kurie buvo laikomi verti rizikos, buvo patyrę paskutinę atakos fazę, kurią sudarė galingesnių „ Teardrop“ užpakalinių durų panaudojimas. Kartu su „Teardrop“ pristatymu „Sunburst“ buvo nurodyta ištrinti save, kad sumažintų užpuoliko pėdsaką pažeistoje sistemoje. Kai kurioms aukoms įsilaužėliai pristatė kenkėjiškų programų padermę, kuri funkciškai atspindėjo „Teardrop“, bet smarkiai skyrėsi savo pagrindiniu kodu. Ši kenkėjiškų programų grėsmė, pavadinta „ Raindrop“ , glumino tyrėjus, nes jie negalėjo nustatyti jos įėjimo taško, kitaip nei „Teardrop“, kurią tiesiogiai numetė ankstesnio etapo „Sunburst“ kenkėjiška programa. GoldMax

 Tyrėjai atskleidė naujų su Nobeliu susijusių kenkėjiškų programų padermių

 „Nobelium“ įsilaužėliai savo veiklos nestabdo, kaip atskleidė „Microsoft“ ir „FireEye“ saugos kompanija, kuri vis dar stebi grupę. Tyrėjai matė keletą naujų pagal užsakymą sukurtų kenkėjiškų programų padermių, kurios buvo įtrauktos į kibernetinių nusikaltėlių arsenalą. Jie apima: 

  • „GoldMax“ / „Sunshuttle“ kenkėjiška programa – sudėtinga užpakalinių durų grėsmė. Pagrindinis jo bruožas yra galimybė sujungti srautą, kurį sukelia jo ryšys su C2 serveriais, pasirenkant persiuntimo URL iš teisėtų svetainių URL sąrašo, kuriame yra, pavyzdžiui, Google.com, Facebook.com, Yahoo.com ir Bing.com.
  •  Sibot“ kenkėjiška programa – antrojo etapo lašintuvas, kuriam pavesta užtikrinti atkaklumą, o tada gauti ir vykdyti kito etapo naudingąją apkrovą iš C2 serverių. Jo grėsmingas VBScript failas įgauna pavadinimą, panašų į teisėtą Windows užduotį, ir tada saugomas registre arba užtemdytu formatu pažeistos sistemos diske.
  •  GoldFinder“ kenkėjiška programa – labai specializuota kenkėjiškų programų padermė, veikianti kaip HTTP sekimo įrankis. Grėsmė nubrėžia tikslų maršrutą, kuriuo paketai patenka į C2 serverius. Tada „GoldFinder“ gali įspėti „Nobelium“ įsilaužėlius apie bet kokius HTTP tarpinius serverius ar kitus peradresavimus, kuriuos sukelia tinklo saugos įrenginiai, kuriuos įdiegė pažeista organizacija.

 Nobelium ir toliau pristato daugiau pagal užsakymą pagamintų įrankių, padedančių jiems geriau pasiekti grėsmingus tikslus. Įsilaužėliams jau pavyko sukompromituoti daugiau nei 18 000 „SolarWinds“ klientų. Tarp aukų buvo žinomos technologijų įmonės ir JAV vyriausybinės agentūros.