Nobelium APT

Nobelium APT Apraksts

Nobelium APT kļuva par nozīmīgu spēlētāju kiberspiegošanas vidē pagājušajā gadā, kad iepriekš nezināma hakeru grupa veica masveida piegādes ķēdes uzbrukumu programmatūras izstrādātājam SolarWinds. Tajā laikā Microsoft hakeru kolektīvam piešķīra nosaukumu Solarigate, bet vēlāk to nomainīja uz Nobelium. Kiberdrošības uzņēmums FireEye izseko grupas darbību ar UNC2542 apzīmējumu.

SolarWinds Attack

 Uzlaujot pret SolarWinds, Nobelium izvietoja četrus dažādus ļaunprātīgas programmatūras celmus, kas viņiem palīdzēja organizēt piegādes ķēdes uzbrukumu. Pirmkārt, hakeri nometa Sunspot ļaunprogrammatūru būvēšanas serverī tūlīt pēc SolarWinds tīkla pārkāpuma. Ļaunprātīgas programmatūras celms tika izstrādāts ar īpašu mērķi - nogaidīt būvēšanas serverī, līdz tas atklāj būvēšanas komandu, kas samontēja vienu no SolarWinds galvenajiem produktiem - IT resursu uzraudzības platformu Orion. Tajā laikā vairāk nekā 33 000 klientu izmantoja Orion. Kad Sunspot identificē pareizos apstākļus, lai aktivizētu, tas slepeni aizstātu noteiktus pirmkoda failus ar bojātiem, kas bija atbildīgi par nākamās pakāpes lietderīgās slodzes - Sunburst ļaunprātīgās programmatūras - ielādi. Rezultātā tagad Trojanizētā Orion versija tika izplatīta uzņēmuma klientiem, kuri pēc tās izpildes inficēja savus iekšējos tīklus.

 Sunburst darbojās kā izlūkošanas rīks, kas savāca datus no apdraudētās organizācijas sistēmām un pēc tam nosūtīja tos atpakaļ hakeriem. Pēc tam Nobelium izmantoja savākto informāciju, lai izlemtu, vai konkrētais upuris ir pietiekami svarīgs, lai attaisnotu turpmāku uzbrukuma eskalāciju. Tie, kas tika uzskatīti par riska vērtiem, tika pakļauti uzbrukuma pēdējai fāzei, kas ietvēra jaudīgāko Teardrop aizmugures durvju izvietošanu. Vienlaikus ar Teardrop piegādi Sunburst tika uzdots izdzēst sevi, lai samazinātu uzbrucēja nospiedumu uz apdraudēto sistēmu. Dažiem atsevišķiem upuriem hakeri piegādāja ļaunprātīgas programmatūras celmu, kas funkcionāli atspoguļoja Teardrop, bet krasi atšķīrās ar tā pamata kodu. Šis ļaunprogrammatūras drauds, ko sauc par lietuspili , samulsināja pētniekus, jo viņi nevarēja noteikt tā ieejas punktu, atšķirībā no Teardrop, kuru tieši atcēla iepriekšējās pakāpes ļaunprogrammatūra Sunburst. GoldMax

 Pētnieki atklāj jaunus ar Nobeliju saistītus ļaunprātīgas programmatūras celmus

 Kā atklāj Microsoft un FireEye drošības kompānija, kas joprojām uzrauga grupu, Nobelium hakeri savu darbību nebremzē. Pētnieki ir bijuši liecinieki vairākiem jauniem pēc pasūtījuma veidotiem ļaunprātīgas programmatūras celmiem, kas ir pievienoti kibernoziedznieku arsenālam. Tie ietver: 

  • GoldMax / Sunshuttle ļaunprātīga programmatūra — sarežģīts aizmugures durvju drauds. Tās galvenā iezīme ir spēja apvienot trafiku, ko izraisa tā saziņa ar C2 serveriem, atlasot novirzītājus no likumīgo vietņu URL saraksta, kas ietver, piemēram, Google.com, Facebook.com, Yahoo.com un Bing.com.
  •  Sibot ļaunprātīgā programmatūra — otrās pakāpes pilinātājs, kura uzdevums ir panākt noturību un pēc tam iegūt un izpildīt nākamās pakāpes lietderīgo slodzi no C2 serveriem. Tā draudīgajam VBScript failam ir nosaukums, kas līdzīgs likumīgam Windows uzdevumam, un pēc tam tiek saglabāts vai nu reģistrā, vai aptumšotā formātā bojātās sistēmas diskā.
  •  GoldFinder Malware — ļoti specializēts ļaunprogrammatūras celms, kas darbojas kā HTTP izsekošanas rīks. Draudi iezīmē precīzu maršrutu, pa kuru paketes nonāk ceļā uz C2 serveriem. Pēc tam GoldFinder var brīdināt Nobelium hakerus par visiem HTTP starpniekserveriem vai citiem novirzīšanas gadījumiem, ko izraisa tīkla drošības ierīces, kuras izvietojusi apdraudētā organizācija.

 Nobelium turpina izlaist vairāk pēc pasūtījuma izgatavotu rīku, kas palīdz viņiem labāk sasniegt apdraudošos mērķus. Hakeriem jau ir izdevies apdraudēt vairāk nekā 18 000 SolarWinds klientu. Starp upuriem bija ievērojami tehnoloģiju uzņēmumi un ASV valdības aģentūras.