Nobelium APT

Nobelium APT Përshkrimi

Nobelium APT u bë një lojtar kryesor në peizazhin e spiunazhit kibernetik vitin e kaluar kur grupi i panjohur më parë i hakerëve kreu një sulm masiv të zinxhirit të furnizimit kundër zhvilluesit të softuerit SolarWinds. Në atë kohë, Microsoft ia caktoi emrin Solarigate kolektivit të hakerëve, por më vonë e ndryshoi atë në Nobelium. Kompania e sigurisë kibernetike FireEye ndjek aktivitetin e grupit nën përcaktimin UNC2542.

Sulmi SolarWinds

 Hakimi kundër SolarWinds, pa Nobelium të vendosë katër lloje të ndryshme malware që i ndihmuan ata të orkestrojnë sulmin e zinxhirit të furnizimit. Së pari, hakerët hodhën malware-in Sunspot në një server të ndërtuar menjëherë pasi ndodhi shkelja e rrjetit të SolarWinds. Lloji i malware u projektua me një qëllim të vetëm - të qëndrojë në pritje në serverin e ndërtimit derisa të zbulojë një komandë ndërtimi që montoi një nga produktet kryesore të SolarWinds - platformën e monitorimit të burimeve të IT Orion. Në atë kohë mbi 33,000 klientë përdornin Orion. Kur Sunspot identifikon rrethanat e duhura për t'u aktivizuar, ai do të zëvendësonte fshehurazi skedarë të caktuar të kodit burimor me të dëmtuar që ishin përgjegjës për ngarkimin e ngarkesës së fazës tjetër - malware Sunburst. Si rezultat, versioni tashmë i trojanizuar i Orionit iu shpërnda klientëve të kompanisë, të cilët më pas infektuan rrjetet e tyre të brendshme pas ekzekutimit të tij.

 Sunburst veproi si një mjet zbulimi që mblidhte të dhëna nga sistemet e organizatës së komprometuar dhe më pas ua transmetonte hakerëve. Informacioni i mbledhur më pas u përdor nga Nobelium për të vendosur nëse viktima specifike ishte mjaft e rëndësishme për të garantuar përshkallëzim të mëtejshëm të sulmit. Ata që u konsideruan me vlerë të rrezikut iu nënshtruan fazës përfundimtare të sulmit që konsistonte në vendosjen e derës së pasme më të fuqishme Teardrop. Njëkohësisht me dorëzimin e Teardrop, Sunburst u udhëzua të fshinte veten për të zvogëluar gjurmën e sulmuesit në sistemin e komprometuar. Në disa viktima të përzgjedhura, hakerët shpërndanë një lloj malware që pasqyronte funksionalisht Teardrop, por ndryshonte në mënyrë drastike në kodin e tij themelor. I quajtur Raindrop , ky kërcënim malware i habiti studiuesit pasi ata nuk mund të përcaktonin pikën e hyrjes së tij, ndryshe nga Teardrop i cili u hodh drejtpërdrejt nga malware i fazës së mëparshme Sunburst. GoldMax

 Studiuesit zbulojnë lloje të reja malware të lidhura me Nobelium

 Hakerët Nobelium nuk po i ngadalësojnë aktivitetet e tyre, siç zbulohet nga Microsoft dhe kompania e sigurisë FireEye, të cilët ende po monitorojnë grupin. Studiuesit kanë qenë dëshmitarë të disa llojeve të reja malware të ndërtuara me porosi që janë shtuar në arsenalin e kriminelëve kibernetikë. Kjo perfshin: 

  • GoldMax /Sunshuttle Malware - një kërcënim i sofistikuar i pasme. Karakteristika e tij kryesore është aftësia për të përzier trafikun e shkaktuar nga komunikimi i tij me serverët C2 duke zgjedhur referues nga një listë e URL-ve legjitime të uebsajteve që përfshijnë Google.com, Facebook.com, Yahoo.com dhe Bing.com.
  •  Malware Sibot - një pikatore e fazës së dytë që ka për detyrë të arrijë qëndrueshmërinë dhe më pas të marrë dhe ekzekutojë ngarkesën e fazës tjetër nga serverët C2. Skedari i tij kërcënues VBScript merr një emër të ngjashëm me një detyrë legjitime të Windows dhe më pas ruhet ose në Regjistrin ose në një format të turbullt në diskun e sistemit të shkelur.
  •  Malware GoldFinder - një lloj malware shumë i specializuar që vepron si një mjet gjurmues HTTP. Kërcënimi përshkruan rrugën e saktë që marrin paketat në rrugën e tyre drejt serverëve C2. GoldFinder më pas mund të paralajmërojë hakerat Nobelium për çdo server proxy HTTP ose ridrejtime të tjera të shkaktuara nga pajisjet e sigurisë së rrjetit të vendosura nga organizata e komprometuar.

 Nobelium po vazhdon të lëshojë më shumë mjete të personalizuara që i ndihmojnë ata të arrijnë më mirë qëllimet e tyre kërcënuese. Hakerët tashmë kanë arritur të komprometojnë mbi 18,000 klientë të SolarWinds. Midis viktimave ishin kompani të njohura të teknologjisë dhe agjenci qeveritare amerikane.