Ruská hackerská skupina Nobelium ohrozuje poskytovateľov cloudových služieb

ZDROJ | ESET

Spoločnosť Microsoft a jej bezpečnostní experti zameriavajúci sa na kybernetické hrozby informovali o nových aktivitách verejne známej hackerskej skupiny Nobelium. Skupina sa dostala do povedomia viacerými úspešnými kybernetickými útokmi. Asi najznámejší bezpečnostný incident, ktorý má skupina na svedomí je tzv. „supply chain“ útok na spoločnosť SolarWinds a jej správcovský a monitorovací softvér Orion. 

ZDROJ | Pixabay

Supply chain útok, resp. útok na dodávateľský reťazec, je veľmi nebezpečný, pretože nezasiahne len samotného výrobcu alebo distribútora softvéru, ale aj všetkých zákazníkov, ktorí dané softvérové riešenie využívajú. V prípade firmy SolarWinds sa zraniteľnosť a malvér nachádzal vo všetkých verziách produktu Orion od marca do júna 2020, pričom obeťami kybernetického útoku sa stalo viac ako 18 tisíc subjektov prevažne z oblasti štátnej správy, energetiky, komunikácie či marketingu.

Spoločnosť Microsoft dlhodobo sleduje a monitoruje aktivity skupiny Nobelium a aktuálne odhalila hackerskú kampaň zameranú prevažne na poskytovateľov cloudových služieb. Do tejto chvíle bolo informovaných 140 poskytovateľov, ktorí sa mohli stať obeťami hackerského útoku – z nich 14 poskytovateľov potvrdilo, že ich IT systémy boli kompromitované.

Hackerská skupina Nobelium opäť využíva známe a časom overené podvodné metódy formou sociálneho inžinierstva a phishingu. Okrem toho bola objavená aktivita, kedy kybernetickí útočníci využívali techniku tzv. „password spaying“. Tento typ útoku je obdoba tzv. „brute force“ útoku, kedy sa hackeri pokúšajú prelomiť heslo do účtu tak, že skúšajú veľké množstvo hesiel.

V prípade password spraying útoku je ale situácia opačná. Útočníci najskôr zozbierajú čo najviac prihlasovacích mien alebo emailových adries, a následne skúšajú použiť rovnaké slabé a bežne používané heslo pre všetky účty. Často sa stáva, že jeden zo stoviek či tisícov zamestnancov používa slabé heslo a hackerom sa podarí preniknúť do užívateľského účtu zamestnanca. Touto metódou sa kybernetickým útočníkom úspešne darí aj zakryť nekalú aktivitu a vyhnúť sa zabezpečeniu servera, ktorý kontroluje množstvo zadaných hesiel na jeden používateľský účet.

Hackerská skupina využíva nový typ backdoor-u (zadné vrátka), ktorý dostal názov FoggyWeb. Backdoor dokáže zo serverov so systémom Active Directory získať užívateľské citlivé údaje, a tie sprístupniť útočníkom. Skupina Nobelium následne odcudzené údaje využíva práve k získaniu prístupu do IT systému obete.

ZDROJ | Microsoft

Práve tým, že hackerská skupina Nobelium cieli na poskytovateľov cloudových služieb, môže sa dostať k IT systémom koncových zákazníkov, ktorých bude opäť rádovo väčšie množstvo. Podľa aktuálneho vyšetrovania americkej vlády a jej vyjadrenia, všetky indície vedú k tomu, že skupina Nobelium je priamo sponzorovaná ruskou vládou a patrí pod ruskú službu zahraničnej rozviedky.

Článok bol pripravený v spolupráci so službou SAFELab – kurzy IT bezpečnosti.

Komentáre k článku