Venäläinen hakkeriryhmittymä Nobelium jatkaa aktiivisia kyberhyökkäyksiä vuoden 2020 SolarWinds-murrosta tutuilla tekniikoilla, kertoo Microsoft tuoreessa blogissaan.
Blogin mukaan viranomaistahot ovat tunnistaneet Nobeliumin valtiolliseksi toimijaksi.
SolarWinds oli vuoden 2020 merkittävimpiä tietomurtoja. SolarWinds-yhtiön Orion Platform -hallintatyökalusta löytyi takaportti, jonka kautta hyökkääjä pääsi murtautumaan kohteen järjestelmään ja esimerkiksi vakoilemaan sitä tai asentamaan haittaohjelmia. Lisätietoa SolarWindsistä Kyberturvallisuuskeskuksen sivuilta.
Tuoreiden tietojen mukaan Nobelium on käyttänyt toimivaksi todettuja menetelmiä hyökkäysreittejä eri kohdassa IT-palvelujen toimitusketjua. TÄllä kertaa kohteena ovat jälleenmyyjät ja palveluntarjoajat, jotka kustomoivat, ottavat käyttöön ja hallinnoivat pilviteknologioita asiakkaiden puolesta.
“Uskomme, että tarkoituksena on löytää sitä kautta reitti asiakkaiden IT-järjestelmiin esiintymällä luotettuna kuppanina”, Microsoftin Tom Burt kirjoittaa blogissa.
Uusimmat aktiviteetit alkoivat toukokuussa ja Microsoft on havainnut yli 140 jälleenmyyjää ja kumppania, jotka ovat olleet Nobeliumin kohteena. Näistä ainakin 14 on saatu murrettua. Tällä kertaa toiminta on kuitenkin havaittu varhaisessa vaiheessa ja kohteita on voitu varoittaa ajoissa.
Tällä kertaa Nobelium ei ole hyödyntänyt ohjelmistojen aukkoja tai haavoittuvuuksia. Käytössä ovat olleet salasanojen kalastelu ja salasanojen ohjelmalliset murtoyritykset. Tavoitteena on ollut saada haltuun käyttäjätunnuksia ja erityisesti ylläpitäjäoikeuksilla olevia tunnuksia.
Kuva Blake Connally Unsplash
