SolarWinds-hackers hebben een hele reeks nieuwe trucs voor massale compromisaanvallen

Bijna precies een jaar geleden ontdekten beveiligingsonderzoekers een van de ergste datalekken in de moderne geschiedenis, zo niet ooit: een door het Kremlin ondersteunde hackcampagne die de servers van netwerkbeheerprovider SolarWinds in gevaar bracht en van daaruit de netwerken van 100 van zijn hoogste -profiel klanten, waaronder negen Amerikaanse federale agentschappen.

Nobelium – de naam die Microsoft aan de indringers gaf – werd uiteindelijk verdreven, maar de groep gaf nooit op en is aantoonbaar alleen brutaler en bedrevener geworden in het hacken van grote aantallen doelen in één enkele slag. De laatste herinnering aan de vaardigheid van de groep komt van beveiligingsbedrijf Mandiant, dat op maandag… gepubliceerd onderzoek het detailleren van Nobelium’s talrijke prestaties – en een paar fouten – terwijl het doorging met het doorbreken van de netwerken van enkele van zijn meest waardevolle doelen.

misbruik maken van vertrouwen

Een van de dingen die Nobelium zo formidabel maakten, was de creativiteit van zijn TTP’s, hacker-jargon voor tactieken, technieken en procedures. In plaats van één voor één in te breken bij elk doelwit, hackte de groep het netwerk van SolarWinds en gebruikte de toegang, en het vertrouwen dat klanten in het bedrijf hadden, om een ​​kwaadaardige update naar ongeveer 18.000 van zijn klanten te sturen.

Vrijwel onmiddellijk konden de hackers de netwerken van al die entiteiten binnendringen. Het zou vergelijkbaar zijn met een inbreker die inbreekt in het pand van een slotenmaker en een hoofdsleutel bemachtigt die de deuren van elk gebouw in de buurt opende, waardoor het gedoe van het openen van elk slot wordt bespaard. Niet alleen was de methode van Nobelium schaalbaar en efficiënt, het maakte de massale compromissen ook veel gemakkelijker te verbergen.

Uit het rapport van Mandiant blijkt dat de vindingrijkheid van Nobelium niet wankelde. Sinds vorig jaar zeggen bedrijfsonderzoekers dat de twee hackgroepen die gelinkt zijn aan de SolarWinds-hack – de ene genaamd UNC3004 en de andere UNC2652 – nieuwe manieren zijn blijven bedenken om grote aantallen doelen op een efficiënte manier te compromitteren.

In plaats van de toeleveringsketen van SolarWinds te vergiftigen, hebben de groepen de netwerken van leveranciers van cloudoplossingen en managed service providers, of CSP’s, gecompromitteerd, uitbestede externe bedrijven waar veel grote bedrijven op vertrouwen voor een breed scala aan IT-services. De hackers vonden vervolgens slimme manieren om die gecompromitteerde providers te gebruiken om hun klanten binnen te dringen.

“Deze inbraakactiviteit weerspiegelt een goed toegeruste groep bedreigingsactoren die opereert met een hoge mate van zorg voor de operationele veiligheid”, aldus het rapport van maandag. “Het misbruik van een derde partij, in dit geval een CSP, kan de toegang tot een breed scala aan potentiële slachtoffers vergemakkelijken door middel van één enkel compromis.”

Geavanceerde ambacht

Het geavanceerde ambacht stopte daar niet. Volgens Mandiant omvatten andere geavanceerde tactieken en vindingen:

  • Gebruik van inloggegevens die zijn gestolen door financieel gemotiveerde hackers die malware gebruiken, zoals: cryptbot, een informatie-stealer die systeem- en webbrowserreferenties en cryptocurrency-portefeuilles verzamelt. Dankzij de hulp van deze hackers konden de UNC3004 en UNC2652 doelen compromitteren, zelfs als ze geen gehackte serviceprovider gebruikten.
  • Zodra de hackergroepen zich in een netwerk bevonden, hebben ze bedrijfsspamfilters of andere software gecompromitteerd met “privileges voor imitatie van applicaties”, die toegang hebben tot e-mail of andere soorten gegevens van elk ander account in het aangetaste netwerk. Door dit ene account te hacken, hoefde je niet langer in elk account afzonderlijk in te breken.
  • Het misbruik van legitieme residentiële proxyservices of geo-gelokaliseerde cloudproviders zoals Azure om verbinding te maken met einddoelen. Toen beheerders van de gehackte bedrijven toegangslogboeken bekeken, zagen ze verbindingen komen van lokale ISP’s met een goede reputatie of cloudproviders die zich in dezelfde geografie als de bedrijven bevonden. Dit hielp de inbraken te verhullen, aangezien door het land gesponsorde hackers vaak speciale IP-adressen gebruiken die argwaan wekken.
  • Slimme manieren om beveiligingsbeperkingen te omzeilen, zoals het extraheren van virtuele machines om interne routeringsconfiguraties te bepalen van de netwerken die ze wilden hacken.
  • Toegang krijgen tot een actieve directory die is opgeslagen in het Azure-account van een doel en deze krachtige beheertool gebruiken om cryptografische sleutels te stelen die tokens zouden genereren die twee-factor-authenticatiebeveiligingen zouden kunnen omzeilen. Deze techniek gaf de indringers wat bekend staat als a Gouden SAML, wat verwant is aan een loper die elke service ontgrendelt die gebruikmaakt van de Beveiligingsbevestiging opmaaktaal, het protocol dat ervoor zorgt dat eenmalige aanmelding, 2FA en andere beveiligingsmechanismen werken.
  • Gebruik van een aangepaste downloader genaamd Ceeloader.

creditSource link

Palomine.be
Logo
Compare items
  • Total (0)
Compare
0
Shopping cart