فهرست بستن

هکرهای SolarWinds مجموعه کاملی از ترفندهای جدید برای حملات مصالحه انبوه دارند

vpn
هکرهای SolarWinds مجموعه کاملی از ترفندهای جدید برای حملات مصالحه انبوه دارند

تقریباً یک سال پیش، محققان امنیتی یکی از بدترین نقض‌های داده در تاریخ مدرن را کشف کردند: یک کمپین هک با حمایت کرملین که سرورهای ارائه‌دهنده مدیریت شبکه SolarWinds و از آنجا، شبکه‌های 100 شبکه از بالاترین آن را به خطر انداخت. -مشتریان پروفایل، از جمله نه آژانس فدرال ایالات متحده.
نوبلیوم – نامی که مایکروسافت برای متجاوزان گذاشت – در نهایت اخراج شد، اما این گروه هرگز تسلیم نشد و مسلماً فقط در هک کردن تعداد زیادی از اهداف در یک حرکت، گستاخ تر و ماهرتر شده است. آخرین یادآوری مهارت این گروه از سوی شرکت امنیتی Mandiant آمده است، که روز دوشنبه تحقیقاتی را منتشر کرد که جزئیات موفقیت‌های متعدد و چند اشتباه نوبلیوم را در ادامه نقض شبکه‌های برخی از اهداف با ارزش خود منتشر کرد.
سوء استفاده از اعتماد
یکی از چیزهایی که نوبلیوم را بسیار قدرتمند کرد، خلاقیت TTP ها، زبان هکری برای تاکتیک ها، تکنیک ها و رویه ها بود. این گروه به جای نفوذ به هر هدف یکی یکی، شبکه SolarWinds را هک کرد و از دسترسی و اعتماد مشتریان به شرکت استفاده کرد تا یک به‌روزرسانی مخرب را به حدود 18000 مشتری خود برساند.
تقریباً فوراً، هکرها می توانند به شبکه های همه آن نهادها نفوذ کنند. این شبیه به دزدی است که وارد محوطه یک قفل ساز می شود و کلید اصلی به دست می آورد که درهای همه ساختمان های همسایه را باز می کند و از زحمت باز کردن هر قفل توسط جیمی خودداری می کند. روش نوبلیوم نه تنها مقیاس‌پذیر و کارآمد بود، بلکه مخفی کردن مصالحه‌های انبوه را نیز آسان‌تر کرد.
گزارش Mandiant نشان می دهد که نبوغ نوبلیوم تزلزل نکرده است. از سال گذشته، محققان شرکت می‌گویند که دو گروه هک مرتبط با هک SolarWinds – یکی UNC3004 و دیگری UNC2652 – به ابداع راه‌های جدیدی برای به خطر انداختن تعداد زیادی از اهداف به شیوه‌ای کارآمد ادامه داده‌اند.
آگهی

به جای مسموم کردن زنجیره تامین SolarWinds، این گروه ها شبکه های ارائه دهندگان راه حل های ابری و ارائه دهندگان خدمات مدیریت شده یا CSP ها را به خطر انداختند، که شرکت های شخص ثالثی هستند که بسیاری از شرکت های بزرگ برای طیف گسترده ای از خدمات فناوری اطلاعات به آنها متکی هستند. سپس هکرها راه های هوشمندانه ای برای استفاده از آن ارائه دهندگان در معرض خطر برای نفوذ به مشتریان خود پیدا کردند.
در گزارش روز دوشنبه آمده است: «این فعالیت نفوذی نشان‌دهنده مجموعه‌ای از عوامل تهدید با منابع خوب است که با سطح بالایی از نگرانی برای امنیت عملیاتی عمل می‌کند. "سوء استفاده از شخص ثالث، در این مورد CSP، می تواند دسترسی به طیف گسترده ای از قربانیان بالقوه را از طریق یک مصالحه تسهیل کند."
صنایع دستی پیشرفته
تجارت پیشرفته در اینجا متوقف نشد. به گفته Mandiant، سایر تاکتیک ها و خلاقیت های پیشرفته عبارتند از:

  • استفاده از اعتبار دزدیده شده توسط هکرهای با انگیزه مالی با استفاده از بدافزاری مانند Cryptbot، یک دزد اطلاعات که اعتبار سیستم و مرورگر وب و کیف پول‌های ارزهای دیجیتال را جمع‌آوری می‌کند. کمک این هکرها به UNC3004 و UNC2652 اجازه می‌دهد تا اهداف را حتی زمانی که از ارائه‌دهنده خدمات هک شده استفاده نمی‌کنند، به خطر بیاندازند. "، که توانایی دسترسی به ایمیل یا انواع دیگر داده ها را از هر حساب دیگری در شبکه در معرض خطر دارند. هک کردن این حساب تکی از دردسر ورود به هر حساب به صورت جداگانه جلوگیری کرد.
  • سوء استفاده از خدمات پراکسی مسکونی قانونی یا ارائه دهندگان ابری در موقعیت جغرافیایی مانند Azure برای اتصال به اهداف نهایی. هنگامی که مدیران شرکت‌های هک‌شده گزارش‌های دسترسی را بررسی کردند، دیدند که اتصالات از سوی ISPهای محلی با شهرت خوب یا ارائه‌دهندگان ابری که در همان جغرافیای شرکت‌ها بودند، می‌آمد. این امر به پنهان کردن نفوذها کمک کرد، زیرا هکرهای تحت حمایت کشور اغلب از آدرس‌های IP اختصاصی استفاده می‌کنند که باعث ایجاد سوء ظن می‌شود. ]دسترسی به دایرکتوری فعال ذخیره شده در حساب Azure یک هدف و استفاده از این ابزار مدیریتی قدرتمند برای سرقت کلیدهای رمزنگاری که توکن هایی تولید می کنند که می توانند محافظت های احراز هویت دو مرحله ای را دور بزنند. این تکنیک چیزی را به مزاحمان داد که به عنوان Golden SAML شناخته می‌شود، که شبیه به یک کلید اسکلتی است که هر سرویسی را که از زبان نشانه‌گذاری ادعای امنیتی استفاده می‌کند، باز می‌کند، پروتکلی که باعث می‌شود ورود به سیستم، 2FA و دیگر مکانیسم‌های امنیتی کار کنند.
  • استفاده از دانلودر سفارشی به نام Ceeloader.