Nobelium APT

Nobelium APT

Nobelium APT je lani postal pomemben igralec na področju kibernetskega vohunjenja, ko je prej neznana hekerska skupina izvedla ogromen napad v dobavni verigi na razvijalca programske opreme SolarWinds. Takrat je Microsoft hekerskemu kolektivu dodelil ime Solarigate, kasneje pa ga je spremenil v Nobelium. Podjetje za kibernetsko varnost FireEye spremlja dejavnost skupine pod oznako UNC2542.

SolarWinds napad

 Nobelium je pri vdoru proti SolarWinds uvedel štiri različne vrste zlonamerne programske opreme, ki so jim pomagale organizirati napad na dobavno verigo. Najprej so hekerji spustili zlonamerno programsko opremo Sunspot na strežnik za gradnjo takoj po tem, ko je prišlo do kršitve omrežja SolarWinds. Sev zlonamerne programske opreme je bila zasnovana z edinstvenim namenom - čakati na strežniku za gradnjo, dokler ne zazna ukaza za gradnjo, ki je sestavil enega od glavnih izdelkov SolarWinds - platformo za spremljanje virov IT Orion. Takrat je Orion uporabljalo več kot 33.000 strank. Ko Sunspot ugotovi prave okoliščine za aktiviranje, bi prikrito zamenjal določene datoteke izvorne kode s poškodovanimi, ki so bile odgovorne za nalaganje koristnega tovora naslednje stopnje - zlonamerne programske opreme Sunburst. Kot rezultat, je bila zdaj trojanizirana različica Oriona distribuirana strankam podjetja, ki so nato ob izvajanju okužile svoja notranja omrežja.

 Sunburst je deloval kot izvidniško orodje, ki je zbiralo podatke iz sistemov ogrožene organizacije in jih nato posredovalo nazaj hekerjem. Nobelium je nato zbrane informacije uporabil za odločitev, ali je bila žrtev dovolj pomembna, da upraviči nadaljnje stopnjevanje napada. Tisti, za katere se je zdelo, da so vredni tveganja, so bili podvrženi zadnji fazi napada, ki je bila sestavljena iz uporabe močnejšega Teardrop backdoor. Sočasno z dostavo Teardrop je Sunburst dobil navodilo, naj se izbriše, da zmanjša napadalčev odtis na ogroženem sistemu. Na nekaj izbranih žrtev so hekerji prinesli zlonamerno programsko opremo, ki je funkcionalno zrcalila Teardrop, vendar se je v svoji osnovni kodi drastično razlikovala. Ta grožnja z zlonamerno programsko opremo, imenovana Raindrop , je zbegala raziskovalce, saj niso mogli določiti njene vstopne točke, za razliko od Teardrop, ki ga je zlonamerna programska oprema Sunburst iz prejšnje stopnje odstranila neposredno. GoldMax

 Raziskovalci odkrivajo nove seve zlonamerne programske opreme, povezane z Nobeliumom

 Hekerji Nobelium ne upočasnjujejo svojih dejavnosti, kot sta razkrila Microsoft in varnostno podjetje FireEye, ki še vedno spremljata skupino. Raziskovalci so bili priča številnim novim vrstam zlonamerne programske opreme, izdelanih po meri, ki so bile dodane v arzenal kibernetskih kriminalcev. Tej vključujejo: 

  • Zlonamerna programska oprema GoldMax /Sunshuttle – sofisticirana grožnja v zakulisju. Njegova glavna značilnost je zmožnost mešanja prometa, ki ga povzroča njegova komunikacija s strežniki C2, z izbiro napotnikov s seznama zakonitih URL-jev spletnih mest, ki vključujejo Google.com, Facebook.com, Yahoo.com in Bing.com.
  •  Zlonamerna programska oprema Sibot - drugostopenjski dropper, ki ima nalogo, da doseže obstojnost in nato pridobi in izvede koristno obremenitev naslednje stopnje iz strežnikov C2. Njena grozeča datoteka VBScript prevzame ime, podobno legitimnemu opravilu Windows, in je nato shranjena bodisi v registru bodisi v prikriti obliki na disku vdornega sistema.
  •  Zlonamerna programska oprema GoldFinder – visoko specializirana vrsta zlonamerne programske opreme, ki deluje kot orodje za sledenje HTTP. Grožnja začrta natančno pot, po kateri gredo paketi na poti do strežnikov C2. GoldFinder lahko nato hekerje Nobelium opozori na morebitne proxy strežnike HTTP ali druge preusmeritve, ki jih povzročijo varnostne naprave omrežja, ki jih je namestila ogrožena organizacija.

 Nobelium še naprej sprošča več orodij po meri, ki jim pomagajo bolje doseči njihove nevarne cilje. Hekerjem je že uspelo ogroziti več kot 18.000 strank SolarWinds. Med žrtvami so bila ugledna tehnološka podjetja in ameriške vladne agencije.

Trending

Loading...