Nobel APT

Nobel APT Opis

Nobelium APT stał się głównym graczem w krajobrazie cyberszpiegostwa w zeszłym roku, kiedy wcześniej nieznana grupa hakerów przeprowadziła zmasowany atak łańcucha dostaw na producenta oprogramowania SolarWinds. W tym czasie Microsoft nadał kolektywowi hakerskiemu nazwę Solarigate, ale później zmienił ją na Nobelium. Firma FireEye zajmująca się cyberbezpieczeństwem śledzi działalność grupy pod oznaczeniem UNC2542.

SolarWinds atak

 Włamanie do SolarWinds spowodowało, że Nobelium wdrożyło cztery różne szczepy złośliwego oprogramowania, które pomogły im zorganizować atak łańcucha dostaw. Po pierwsze, hakerzy umieścili szkodliwe oprogramowanie Sunspot na serwerze kompilacji natychmiast po naruszeniu sieci SolarWinds. Szczep złośliwego oprogramowania został zaprojektowany w jednym celu - aby czekać na serwerze kompilacji, dopóki nie wykryje polecenia kompilacji, które zmontowało jeden z głównych produktów SolarWinds - platformę monitorowania zasobów IT Orion. W tym czasie z Oriona korzystało ponad 33 000 klientów. Gdy Sunspot zidentyfikuje odpowiednie okoliczności do aktywacji, potajemnie zastąpi niektóre pliki kodu źródłowego uszkodzonymi, które były odpowiedzialne za ładowanie następnego etapu — złośliwego oprogramowania Sunburst. W rezultacie, teraz strojanizowana wersja Oriona została rozesłana do klientów firmy, którzy po uruchomieniu infekowali swoje sieci wewnętrzne.

 Sunburst działał jako narzędzie rozpoznawcze, które zbierało dane z systemów zaatakowanej organizacji, a następnie przekazywało je hakerom. Zebrane informacje zostały następnie wykorzystane przez Nobelium do podjęcia decyzji, czy konkretna ofiara była wystarczająco ważna, aby uzasadnić dalszą eskalację ataku. Te, które uznano za warte ryzyka, zostały poddane końcowej fazie ataku, która polegała na rozmieszczeniu mocniejszego backdoora Teardrop. Jednocześnie z dostarczeniem Teardrop, Sunburst został poinstruowany, aby usunąć się w celu zmniejszenia śladu atakującego na zaatakowanym systemie. Na wybranych kilku ofiarach hakerzy dostarczyli szczep złośliwego oprogramowania, który funkcjonalnie odzwierciedlał Teardrop, ale drastycznie różnił się podstawowym kodem. Nazywane Raindrop , to szkodliwe oprogramowanie zbiło z tropu badaczy, ponieważ nie byli w stanie określić jego punktu wejścia, w przeciwieństwie do Teardrop, który został porzucony bezpośrednio przez szkodliwe oprogramowanie Sunburst na poprzednim etapie. GoldMax

 Naukowcy odkrywają nowe szczepy złośliwego oprogramowania związane z Nobelem

 Hakerzy Nobelium nie spowalniają swoich działań, jak ujawniły Microsoft i firma zajmująca się bezpieczeństwem FireEye, które nadal monitorują grupę. Badacze byli świadkami kilku nowych, niestandardowych szczepów złośliwego oprogramowania, które zostały dodane do arsenału cyberprzestępców. Obejmują one: 

  • GoldMax /Sunshuttle Malware — zaawansowane zagrożenie typu backdoor. Jego główną cechą jest możliwość łączenia ruchu powodowanego przez komunikację z serwerami C2 poprzez wybieranie stron odsyłających z listy legalnych adresów URL witryn, które obejmują takie jak Google.com, Facebook.com, Yahoo.com i Bing.com.
  •  Sibot Malware — dropper drugiego etapu, którego zadaniem jest osiągnięcie trwałości, a następnie pobranie i wykonanie następnego ładunku z serwerów C2. Zagrażający plik VBScript przyjmuje nazwę podobną do prawidłowego zadania systemu Windows, a następnie jest przechowywany w Rejestrze lub w zaciemnionym formacie na dysku systemu, którego dotyczy naruszenie.
  •  Złośliwe oprogramowanie GoldFinder — wysoce wyspecjalizowany szczep złośliwego oprogramowania, który działa jako narzędzie do śledzenia HTTP. Zagrożenie wyznacza dokładną trasę, którą obierają pakiety w drodze do serwerów C2. GoldFinder może następnie ostrzec hakerów Nobelium o serwerach proxy HTTP lub innych przekierowaniach spowodowanych przez urządzenia zabezpieczające sieć wdrożone przez zaatakowaną organizację.

 Nobelium nadal udostępnia więcej niestandardowych narzędzi, które pomagają im lepiej osiągać groźne cele. Hakerom udało się już skompromitować ponad 18 000 klientów SolarWinds. Wśród ofiar były znane firmy technologiczne i agencje rządowe USA.