‘SolarWinds-hackers hebben nieuwe methodes voor massale aanvallen’

Abonneer je gratis op Techzine!

Nobelium, de groep achter de SolarWinds-aanval, heeft nog steeds een groot arsenaal geavanceerde hackmogelijkheden tot de beschikking. Dit concluderen de securityspecialisten van Mandiant in een recent onderzoek. Het gevaar van deze -waarschijnlijk staatsgesteunde- hackers in nog niet geweken.

Een jaar gelden slaagden de hackers van Nobelium erin de Amerikaanse securityspecialist SolarWinds te hacken. Vervolgens werden vele klanten van deze securityspecialist gehackt, ongeveer 18.000, waaronder Microsoft en ook de Amerikaanse overheid. Dit met alle gevolgen van dien.

Nader onderzoek naar de achtergrond van de hackers, leverde op dat de hackers van Nobelium ervan verdacht worden steun te ontvangen van een land. Het gaat hierbij waarschijnlijk om Rusland.

Nobelium staat vooral bekend vanwege zijn geavanceerde tactieken, technieken en procedures of ook wel TTP genoemd. In plaats van dat zij hun slachtoffers één voor één aanvallen, zoeken zij liever één bedrijf uit die meerdere klanten bedient. Via een hack op dit laatste bedrijf gaan de hackers op zoek naar een soort ‘master key’ die vervolgens eenvoudig de deuren naar de klanten ‘opent’.

Onderzoek Mandiant

Uit het onderzoek van Mandiant blijkt dat Nobelium, en de twee hackersgroepen UNC3004 en UNC2652 die deel uitmaken van dit hackconglomeraat, hun TTP-activiteiten nog verder hebben geperfectioneerd. Vooral voor aanvallen op cloudleveranciers en MSP’s, zodat daardoor nog meer bedrijven konden worden bereikt.

Nieuwe technieken van de hackers zijn het gebruik van inloggegevens die verkregen zijn via info-stealer malwarecampagnes van andere hackers. Hiermee zochten de hackers van Nobelium de eerste toegang tot slachtoffers. Ook gebruikten de hackers accounts met Application Impersonation-privileges voor het ‘oogsten’ van gevoelige e-maildata. De hackers gebruikten daarnaast zowel IP proxy-diensten voor consumenten en nieuwe lokale infrastructuur voor de communicatie met getroffen slachtoffers.

Overige technieken

Verder gebruikten zij nieuwe TTP-mogelijkheden voor het omzeilen van securitybeperkingen in diverse omgevingen, waaronder virtuele machines, voor het bepalen van interne routing configuraties. Een andere gebruikte tool was de nieuwe CEELOADER-downloader. Zelfs slaagden de hackers erin active directories van Microsoft Azure-accounts binnen te dringen en daar ‘master keys’ te ontvreemden waarmee toegang tot directories van klanten van een getroffen partij werd gekregen. Tot slot slaagden de hackers erin multi-factor authenticatie te misbruiken met behulp van pushmeldingen op smartphones.

De onderzoekers van Mandiant viel het op dat de hackers vooral interesse toonden voor data die belangrijk was voor Rusland. Daarnaast werd in sommige gevallen data ontvreemd die de hackers nieuwe ingangen moest geven voor het aanvallen van andere slachtoffers.

Nobelium blijvend probleem

Het rapport besluit met de conclusie dat de aanvallen van Nobelium voorlopig nog niet zullen ophouden. Volgens de onderzoekers blijven de hackers hun aanvalstechnieken en -vaardigheden verbeteren om langer binnen de netwerken van slachtoffers aanwezig te blijven, detectie te voorkomen en hersteloperaties te frustreren.

Tip: Enorme hack treft Amerikaanse regering en veel andere partijen