Nobelium, aktér hrozieb za kompromisom SolarWinds v decembri 2020, stojí za pokračujúcou vlnou útokov, ktoré ohrozili 14 následných zákazníkov viacerých poskytovateľov cloudových služieb (CSP), poskytovateľov spravovaných služieb (MSP) a ďalších organizácií IT služieb, čo ilustruje pretrvávajúci záujem protivníka zamerať sa na dodávateľský reťazec prostredníctvom prístupu „kompromis-jeden-kompromis-mnoho“.
Microsoft, ktorý v pondelok zverejnil podrobnosti o kampani, uviedol, že od mája informoval viac ako 140 predajcov a poskytovateľov technologických služieb. Medzi júlom 1 a 19. októbra 2021 si Nobelium údajne vybralo 609 zákazníkov, ktorí boli celkovo napadnutí celkovo 22 868-krát.
„Táto nedávna aktivita je ďalším ukazovateľom toho, že Rusko sa snaží získať dlhodobý, systematický prístup k rôznym bodom technologického dodávateľského reťazca a vytvoriť mechanizmus na sledovanie – teraz alebo v budúcnosti – cieľov, ktoré sú predmetom záujmu ruskej vlády. “ povedal Tom Burt, podnikový viceprezident spoločnosti Microsoft pre bezpečnosť a dôveru zákazníkov.
Novo odhalené útoky nezneužívajú žiadne špecifické bezpečnostné slabiny v softvéri, ale skôr využívajú rozmanitú škálu techník, ako je sprejovanie hesiel, krádež tokenov, zneužívanie API a spear-phishing, aby sa dostali poverenia spojené s privilegovanými účtami poskytovateľov služieb, čo útočníkom umožňuje. pohybovať sa laterálne v cloudových prostrediach a montovať ďalšie prieniky.
Cieľom podľa Microsoftu je, že „Nobelium v konečnom dôsledku dúfa, že využije akýkoľvek priamy prístup, ktorý môžu mať predajcovia k IT systémom svojich zákazníkov, a ľahšie sa vydá za dôveryhodného technologického partnera organizácie, aby získal prístup k svojim následným zákazníkom.“
Ak vôbec niečo, útoky sú ďalším prejavom často opakovanej taktiky Nobelium, pri ktorej sa zistilo, že zneužíva vzťahy založené na dôvere medzi poskytovateľmi služieb na to, aby sa zahrabali do viacerých obetí záujmu pre spravodajský zisk. Ako zmiernenie odporúča spoločnosť spoločnostiam, aby povolili viacfaktorovú autentifikáciu (MFA) a audit delegovaných správcovských oprávnení (DAP), aby sa zabránilo akémukoľvek potenciálnemu zneužitiu zvýšených povolení.
Vývoj tiež prichádza necelý mesiac po tom, čo technologický gigant odhalil nové pasívne a vysoko cielené zadné vrátka s názvom „FoggyWeb“, ktoré nasadila hackerská skupina na poskytovanie dodatočných užitočných dát a ukradnutie citlivých informácií zo serverov Active Directory Federation Services (AD FS).
