Nobelium APT

Nobelium APT a devenit un jucător important în peisajul spionajului cibernetic anul trecut, când grupul de hackeri necunoscut anterior a efectuat un atac masiv asupra lanțului de aprovizionare împotriva dezvoltatorului de software SolarWinds. La acea vreme, Microsoft a atribuit numele Solarigate colectivului de hackeri, dar ulterior l-a schimbat în Nobelium. Compania de securitate cibernetică FireEye urmărește activitatea grupului sub denumirea UNC2542.

Atacul SolarWinds

 Hackul împotriva SolarWinds a făcut ca Nobelium să implementeze patru tulpini diferite de malware care i-au ajutat să orchestreze atacul lanțului de aprovizionare. În primul rând, hackerii au aruncat malware-ul Sunspot pe un server de compilare imediat după ce a avut loc încălcarea rețelei SolarWinds. Tulpina de malware a fost concepută cu un scop unic - să aștepte pe serverul de compilare până când detectează o comandă de compilare care a asamblat unul dintre produsele principale ale SolarWinds - platforma de monitorizare a resurselor IT Orion. În acel moment, peste 33.000 de clienți foloseau Orion. Atunci când Sunspot identifică circumstanțele potrivite pentru activare, ar înlocui pe furiș anumite fișiere de cod sursă cu altele corupte care au fost responsabile pentru încărcarea sarcinii utile din etapa următoare - malware-ul Sunburst. Drept urmare, versiunea acum troianizată a lui Orion a fost distribuită clienților companiei care apoi și-au infectat rețelele interne la executarea acesteia.

 Sunburst a acționat ca un instrument de recunoaștere care a colectat date din sistemele organizației compromise și apoi le-a transmis înapoi hackerilor. Informațiile adunate au fost apoi folosite de Nobelium pentru a decide dacă victima este suficient de importantă pentru a justifica o escaladare suplimentară a atacului. Cei care au fost considerați că merită riscul au fost supuși fazei finale a atacului, care a constat în desfășurarea ușii din spate Teardrop mai puternice. Concomitent cu livrarea Teardrop, Sunburst a fost instruit să se ștergă pentru a reduce amprenta atacatorului pe sistemul compromis. Pe câteva victime selectate, hackerii au furnizat o tulpină de malware care a reflectat Teardrop din punct de vedere funcțional, dar diferă drastic în codul său de bază. Denumită Raindrop , această amenințare malware i-a derutat pe cercetători, deoarece nu i-au putut determina punctul de intrare, spre deosebire de Teardrop, care a fost eliminat direct de malware-ul Sunburst din etapa anterioară. GoldMax

 Cercetătorii descoperă noi tulpini de malware legate de Nobelium

 Hackerii Nobelium nu își încetinesc activitățile, așa cum au dezvăluit Microsoft și compania de securitate FireEye, care încă monitorizează grupul. Cercetătorii au asistat la câteva tulpini noi de malware personalizate care au fost adăugate la arsenalul infractorilor cibernetici. Acestea includ: 

• GoldMax /Sunshuttle Malware - o amenințare sofisticată de tip backdoor. Caracteristica sa principală este capacitatea de a amesteca traficul cauzat de comunicarea sa cu serverele C2 prin selectarea referrerilor dintr-o listă de adrese URL legitime ale site-urilor web care includ Google.com, Facebook.com, Yahoo.com și Bing.com.
•  Sibot Malware - un dropper din a doua etapă care are sarcina de a obține persistența și apoi de a prelua și de a executa încărcarea utilă din etapa următoare de pe serverele C2. Fișierul său amenințător VBScript își asumă un nume similar cu o sarcină Windows legitimă și este apoi stocat fie în Registry, fie într-un format obscurcat pe discul sistemului încălcat.
•  GoldFinder Malware - tulpină de malware foarte specializată care acționează ca un instrument de urmărire HTTP. Amenințarea evidențiază ruta exactă pe care o iau pachetele în drumul lor către serverele C2. GoldFinder poate alerta apoi hackerii Nobelium cu privire la orice server proxy HTTP sau alte redirecționări cauzate de dispozitivele de securitate ale rețelei implementate de organizația compromisă.

 Nobelium continuă să lanseze mai multe instrumente personalizate care îi ajută să-și atingă mai bine obiectivele amenințătoare. Hackerii au reușit deja să compromită peste 18.000 dintre clienții SolarWinds. Printre victime s-au numărat companii de tehnologie proeminente și agenții guvernamentale americane.