Nobelium APT

Nobelium APT Popis

Nobelium APT sa minulý rok stalo hlavným hráčom na poli kyberšpionáže, keď predtým neznáma hackerská skupina vykonala masívny útok na dodávateľský reťazec proti vývojárovi softvéru SolarWinds. V tom čase spoločnosť Microsoft pridelila názov Solarigate skupine hackerov, ale neskôr ho zmenila na Nobelium. Kybernetická bezpečnostná spoločnosť FireEye sleduje činnosť skupiny pod označením UNC2542.

SolarWinds útok

 Hack proti SolarWinds videl, že Nobelium nasadilo štyri rôzne kmene malvéru, ktoré im pomohli zorganizovať útok na dodávateľský reťazec. Po prvé, hackeri umiestnili malvér Sunspot na zostavovací server ihneď po narušení siete SolarWinds. Tento malvérový kmeň bol navrhnutý s jediným cieľom – čakať na zostavovacom serveri, kým nezistí príkaz na zostavenie, ktorý zostavil jeden z hlavných produktov SolarWinds – platformu na monitorovanie IT zdrojov Orion. Orion v tom čase používalo viac ako 33 000 zákazníkov. Keď Sunspot identifikuje správne okolnosti na aktiváciu, tajne nahradí určité súbory zdrojového kódu poškodenými, ktoré boli zodpovedné za načítanie dát v ďalšej fáze – malvéru Sunburst. Výsledkom bola teraz trójska verzia Orionu distribuovaná klientom spoločnosti, ktorí potom infikovali svoje interné siete pri jej spustení.

 Sunburst fungoval ako prieskumný nástroj, ktorý zbieral údaje zo systémov napadnutej organizácie a následne ich odovzdával hackerom. Zozbierané informácie potom Nobelium použilo na rozhodnutie, či konkrétna obeť bola dostatočne dôležitá na to, aby zaručila ďalšiu eskaláciu útoku. Tí, ktorí boli považovaní za hodné rizika, boli podrobení poslednej fáze útoku, ktorá pozostávala z nasadenia výkonnejších zadných vrátok Teardrop. Súčasne s doručením Teardrop dostal Sunburst pokyn, aby sa vymazal, aby sa zmenšila stopa útočníka na napadnutom systéme. Niekoľkým vybraným obetiam hackeri dodali malvérový kmeň, ktorý funkčne odzrkadľoval Teardrop, ale drasticky sa líšil v základnom kóde. Táto malvérová hrozba s názvom Raindrop zmiatla výskumníkov, pretože nedokázali určiť jej vstupný bod, na rozdiel od Teardrop, ktorý bol vypustený priamo malvérom Sunburst v predchádzajúcej fáze. GoldMax

 Výskumníci odhaľujú nové kmene malvéru súvisiaceho s Nobelium

 Hackeri z Nobelium nespomaľujú svoje aktivity, ako odhalili Microsoft a bezpečnostná spoločnosť FireEye, ktorí skupinu stále monitorujú. Výskumníci boli svedkami niekoľkých nových kmeňov škodlivého softvéru na mieru, ktoré boli pridané do arzenálu kyberzločincov. Tie obsahujú: 

  • GoldMax /Sunshuttle Malware - sofistikovaná hrozba backdoor. Jeho hlavnou črtou je schopnosť spájať návštevnosť spôsobenú jeho komunikáciou so servermi C2 výberom odkazujúcich zdrojov zo zoznamu legitímnych webových adries, ktoré zahŕňajú napríklad Google.com, Facebook.com, Yahoo.com a Bing.com.
  •  Sibot Malware – dropper druhej fázy, ktorého úlohou je dosiahnuť vytrvalosť a potom načítať a spustiť ďalšiu fázu užitočného zaťaženia zo serverov C2. Jeho hrozivý súbor VBScript má názov podobný legitímnej úlohe systému Windows a potom je uložený buď v registri alebo v zahmlenom formáte na disku narušeného systému.
  •  The GoldFinder Malware – vysoko špecializovaný kmeň škodlivého softvéru, ktorý funguje ako nástroj na sledovanie HTTP. Hrozba mapuje presnú cestu, ktorou sa pakety dostanú na servery C2. GoldFinder potom môže upozorniť hackerov Nobelium na akékoľvek HTTP proxy servery alebo iné presmerovania spôsobené sieťovými bezpečnostnými zariadeniami nasadenými napadnutou organizáciou.

 Nobelium pokračuje v uvoľňovaní ďalších nástrojov vyrobených na mieru, ktoré im pomôžu lepšie dosiahnuť ich ohrozujúce ciele. Hackerom sa už podarilo kompromitovať viac ako 18 000 zákazníkov SolarWinds. Medzi obeťami boli prominentné technologické spoločnosti a americké vládne agentúry.