Nobelium APT

Nobelium APT став основним гравцем у сфері кібершпигунства минулого року, коли раніше невідома група хакерів здійснила масову атаку на ланцюжок поставок проти розробника програмного забезпечення SolarWinds. У той час Microsoft присвоїла групі хакерів назву Solarigate, але пізніше змінила її на Nobelium. Компанія з кібербезпеки FireEye відстежує діяльність групи під позначенням UNC2542.

атака SolarWinds

 Під час злому проти SolarWinds Nobelium розгорнув чотири різні види шкідливих програм, які допомогли їм організувати атаку на ланцюжок поставок. По-перше, хакери перекинули зловмисне програмне забезпечення Sunspot на сервер збірки відразу після того, як сталося злому мережі SolarWinds. Зловмисне програмне забезпечення було розроблено з єдиною метою - підстерігати на сервері збірки, поки він не виявить команду збірки, яка зібрала один з основних продуктів SolarWinds - платформу моніторингу ІТ-ресурсів Orion. На той момент Orion користувалися понад 33 000 клієнтів. Коли Sunspot визначить правильні обставини для активації, він потай замінить певні файли вихідного коду пошкодженими файлами, які відповідали за завантаження наступного етапу корисного навантаження - шкідливого програмного забезпечення Sunburst. В результаті тепер троянізована версія Orion була поширена серед клієнтів компанії, які потім заражали свої внутрішні мережі після її виконання.

 Sunburst виступав як інструмент розвідки, який збирав дані з систем зламаної організації, а потім передавав їх хакерам. Зібрана інформація була потім використана Нобеліумом, щоб вирішити, чи є конкретна жертва достатньо важливою, щоб виправдати подальшу ескалацію нападу. Ті, хто вважалися варті ризику, були піддані заключній фазі атаки, яка полягала у розгортанні більш потужного бекдора Teardrop. Одночасно з доставкою Teardrop Sunburst отримав інструкцію видалити себе, щоб зменшити вплив зловмисника на зламану систему. Декільком вибраним жертвам хакери розповсюдили зловмисне програмне забезпечення, яке функціонально відображало Teardrop, але суттєво відрізнялося основним кодом. Ця загроза зловмисного програмного забезпечення під назвою Raindrop збентежила дослідників, оскільки вони не могли визначити її точку входу, на відміну від Teardrop, який був вилучений безпосередньо зловмисним програмним забезпеченням Sunburst попереднього етапу. GoldMax

 Дослідники виявили нові штами шкідливих програм, пов’язаних з Нобеліумом

 Хакери Nobelium не сповільнюють свою діяльність, як виявили Microsoft і охоронна компанія FireEye, які все ще контролюють групу. Дослідники стали свідками кількох нових спеціально створених штамів шкідливих програм, які були додані до арсеналу кіберзлочинців. До них належать: 

• Зловмисне програмне забезпечення GoldMax /Sunshuttle – складна загроза від бекдора. Його головною особливістю є можливість поєднувати трафік, викликаний його зв’язком із серверами C2, вибираючи реферерів зі списку законних URL-адрес веб-сайтів, які включають такі, як Google.com, Facebook.com, Yahoo.com і Bing.com.
•  Зловмисне програмне забезпечення Sibot - дроппер другого етапу, якому поставлено завдання забезпечити стабільність, а потім отримати та виконати корисне навантаження наступного етапу із серверів C2. Його загрозливий файл VBScript приймає ім’я, подібне до законної задачі Windows, і потім зберігається або в реєстрі, або в захмарному форматі на диску зламаної системи.
•  Зловмисне програмне забезпечення GoldFinder – високоспеціалізоване зловмисне програмне забезпечення, яке діє як засіб відстеження HTTP. Загроза визначає точний маршрут, який проходять пакети на своєму шляху до серверів C2. Потім GoldFinder може попередити хакерів Nobelium про будь-які HTTP-проксі-сервери або інші перенаправлення, викликані пристроями безпеки мережі, розгорнутими скомпрометованою організацією.

 Nobelium продовжує випускати більше спеціально виготовлених інструментів, які допомагають їм краще досягати своїх загрозливих цілей. Хакерам вже вдалося скомпрометувати понад 18 000 клієнтів SolarWinds. Серед постраждалих були відомі технологічні компанії та урядові установи США.