Οι hackers της SolarWinds στοχεύουν στο Think Tanks με το νέο Backdoor
Η Microsoft την Πέμπτη αποκάλυψε ότι ο απειλητικός παράγοντας πίσω από το χάκερ της εφοδιαστικής αλυσίδας SolarWinds επέστρεψε στο τοπίο απειλών για να στοχεύσει κυβερνητικές υπηρεσίες, δεξαμενές σκέψης, συμβούλους και μη κυβερνητικές οργανώσεις που βρίσκονται σε 24 χώρες, συμπεριλαμβανομένων των ΗΠΑ.
“Αυτό το κύμα επιθέσεων στοχεύει περίπου 3.000 λογαριασμούς email σε περισσότερους από 150 διαφορετικούς οργανισμούς”, δήλωσε ο Tom Burt, εταιρικός αντιπρόεδρος της Microsoft για την ασφάλεια και την εμπιστοσύνη των πελατών. “Τουλάχιστον το ένα τέταρτο των στοχευμένων οργανισμών συμμετείχαν σε διεθνείς εργασίες, ανθρωπιστικά και ανθρώπινα δικαιώματα.”
Η Microsoft απέδωσε τις εισβολές στον Ρώσο ηθοποιό απειλής που παρακολουθεί ως Nobelium και από την ευρύτερη κοινότητα ασφάλειας στον κυβερνοχώρο υπό τους monikers APT29, UNC2452 (FireEye), SolarStorm (Unit 42), StellarParticle (Crowdstrike) και Dark Halo (Volexity).
Το τελευταίο κύμα σε μια σειρά εισβολών λέγεται ότι ξεκίνησε τον Ιανουάριο του 2021, πριν φτάσει σε ένα νέο επίπεδο κλιμάκωσης στις 25 Μαΐου. Η επίθεση αξιοποιεί μια νόμιμη υπηρεσία μαζικής αποστολής που ονομάζεται Constant Contact για να αποκρύψει την κακόβουλη δραστηριότητά της και να μεταμφιέσει ως USAID, ένας οργανισμός ανάπτυξης που εδρεύει στις ΗΠΑ, για μια εκστρατεία ηλεκτρονικού ψαρέματος ευρείας κλίμακας που διανέμει ηλεκτρονικά μηνύματα ηλεκτρονικού “ψαρέματος” (phishing) σε μια μεγάλη ποικιλία οργανισμών και κλάδων του κλάδου.
Αυτά τα φαινομενικά αυθεντικά μηνύματα ηλεκτρονικού ταχυδρομείου περιλαμβάνουν έναν σύνδεσμο που, όταν πατηθεί, παρέχει ένα κακόβουλο αρχείο εικόνας οπτικού δίσκου (“ICA-Decass.iso”) για να εισάγει ένα προσαρμοσμένο εμφύτευμα Cobalt Strike Beacon που ονομάζεται NativeZone (“Documents.dll”) που έρχεται εξοπλισμένο με δυνατότητες για τη διαρκή πρόσβαση, τη διεξαγωγή πλευρικής κίνησης, την αποβολή δεδομένων και την εγκατάσταση επιπλέον κακόβουλου λογισμικού.
Σε μια άλλη παραλλαγή των στοχευμένων επιθέσεων, το Nobelium πειραματίστηκε με τη δημιουργία προφίλ στο μηχάνημα προορισμού αφού ο παραλήπτης email έκανε κλικ στο σύνδεσμο. Σε περίπτωση που το υποκείμενο λειτουργικό σύστημα αποδείχθηκε iOS, το θύμα ανακατευθύνθηκε σε έναν δεύτερο απομακρυσμένο διακομιστή για να αποστείλει ένα exploit για το τότε μηδέν CVE-2021-1879. Η Apple αντιμετώπισε το ελάττωμα στις 26 Μαρτίου, αναγνωρίζοντας ότι “αυτό το ζήτημα μπορεί να έχει αξιοποιηθεί ενεργά”.
Η εταιρεία Cybersecurity Volexity, η οποία επιβεβαίωσε τα ευρήματα, δήλωσε ότι η εκστρατεία ξεχώρισε μη κυβερνητικούς οργανισμούς (ΜΚΟ), ερευνητικά ιδρύματα, κυβερνητικούς φορείς και διεθνείς οργανισμούς που βρίσκονται στις ΗΠΑ και την Ευρώπη.
Οι τελευταίες επιθέσεις προσθέτουν στοιχεία για το επαναλαμβανόμενο μοτίβο της απειλής του ηθοποιού να χρησιμοποιεί μοναδικές υποδομές και εργαλεία για κάθε στόχο, δίνοντας έτσι στους επιτιθέμενους ένα υψηλό επίπεδο μυστικότητας και παραμένουν απαρατήρητοι για παρατεταμένα χρονικά διαστήματα.
Ο διαρκώς εξελισσόμενος χαρακτήρας του εμπορικού έργου του Nobelium είναι επίσης πιθανό να είναι άμεση απάντηση στο πολύ δημοφιλές περιστατικό SolarWinds, υποδηλώνοντας ότι οι επιτιθέμενοι θα μπορούσαν να συνεχίσουν να πειραματίζονται περαιτέρω με τις μεθόδους τους για την επίτευξη των στόχων τους.
“Όταν συνδυάζεται με την επίθεση στα SolarWinds, είναι σαφές ότι μέρος του βιβλίου του Nobelium είναι να αποκτήσει πρόσβαση σε αξιόπιστους παρόχους τεχνολογίας και να μολύνει τους πελάτες τους”, δήλωσε ο Burt. “Με το piggybacking στις ενημερώσεις λογισμικού και τώρα στους μαζικούς παρόχους email, το Nobelium αυξάνει τις πιθανότητες παράπλευρης ζημίας στις κατασκοπικές επιχειρήσεις και υπονομεύει την εμπιστοσύνη στο τεχνολογικό οικοσύστημα.”
