Microsoft heeft gewaarschuwd dat Nobelium, de hackgroep achter het SolarWinds-fiasco, zich heeft gericht op ten minste 140 wederverkopers en technologieserviceproviders in wereldwijde IT-toeleveringsketens.
Op 24 oktober zei Tom Burt, Microsoft Corporate Vice President of Customer Security & Trust zei in een advies dat de Advanced Persistent Threat (APT)-groep, van Russische oorsprong, nu is overgestapt op software- en cloudservice-resellers om “meeliften op elke directe toegang die resellers mogelijk hebben tot de IT-systemen van hun klanten”.
De Redmond-reus zegt dat de laatste campagne van Nobelium in mei van dit jaar werd opgemerkt en dat niet minder dan 140 bedrijven het doelwit waren, met 14 bevestigde gevallen van compromis.
Nobelium was verantwoordelijk voor de SolarWinds-inbreuk, die in december 2020 door Microsoft en FireEye (nu bekend als Mandiant) werd onthuld.
SolarWinds-systemen werden gehackt en een update voor Orion-software werd vergiftigd en later geïmplementeerd bij ongeveer 18.000 klanten.
De APT selecteerde vervolgens een klein aantal spraakmakende doelwitten om te exploiteren, waaronder Microsoft, FireEye, het Department of Homeland Security (DHS), de Cybersecurity and Infrastructure Agency (CISA) en het Amerikaanse ministerie van Financiën.
Nadat de kwaadaardige update via de legitieme kanalen van SolarWind was gepusht, werd malware op deze systemen geplant, inclusief de Sunburst/Solorigate-achterdeur.
Microsoft schat dat de prestatie de inspanningen van maximaal 1.000 ingenieurs heeft gekost. De laatste golf van aanvallen lijkt echter geen gebruik te maken van specifieke kwetsbaarheden of beveiligingsfouten; in plaats daarvan vertrouwt de groep op het spuiten en bidden van inloggegevens, phishing, API-misbruik en tokendiefstal in pogingen om accountgegevens en bevoorrechte toegang tot de systemen van slachtoffers te verkrijgen.
De nieuwe campagne maakt deel uit van de bredere activiteiten van de Russische dreigingsactoren. Tussen 1 juli en 19 oktober heeft Microsoft 609 klanten gewaarschuwd voor 22.868 hackpogingen, hoewel het bedrijf opmerkt dat het succes in de “lage enkele cijfers” zit.
Vóór 1 juli waarschuwde Microsoft klanten voor in totaal 20.500 pogingen tot aanvalspogingen van nationale staten, waaronder een eerdere phishing-campagne van Nobelium die zich voordeed als USAID.
“Deze recente activiteit is een andere indicator dat Rusland op lange termijn systematische toegang probeert te krijgen tot een verscheidenheid aan punten in de technologietoeleveringsketen en [om] een mechanisme op te zetten voor het toezicht houden – nu of in de toekomst – doelen van belang aan de Russische regering”, aldus Microsoft. “Gelukkig hebben we deze campagne in een vroeg stadium ontdekt en we delen deze ontwikkelingen om wederverkopers van cloudservices, technologieproviders en hun klanten te helpen tijdig stappen te ondernemen om ervoor te zorgen dat Nobelium niet succesvoller is.”
Microsoft heeft alle betrokken leveranciers geïnformeerd en heeft ook technische richtlijnen vrijgegeven waarin wordt uiteengezet hoe Nobelium lateraal over netwerken probeert te bewegen om downstream-klanten te bereiken.
In een verklaring zei Mandiant SVP en CTO, Charles Carmakal dat het bedrijf meerdere gevallen van vermoedelijke Russische cyberaanvallen heeft onderzocht, waarvan de relaties tussen de toeleveringsketen tussen technologieleveranciers en klanten zijn uitgebuit.
“Terwijl de aanval op de toeleveringsketen van SolarWinds kwaadaardige code omvatte die in legitieme software was ingevoegd, bestond het grootste deel van deze recente inbraakactiviteit uit het gebruik van gestolen identiteiten en de netwerken van technologische oplossingen, diensten en resellerbedrijven in Noord-Amerika en Europa om uiteindelijk toegang te krijgen tot de omgevingen van organisaties die het doelwit zijn van de Russische regering”, aldus Carmakal.
Eerdere en gerelateerde berichtgeving
Tomiris backdoor-ontdekking gekoppeld aan Sunshuttle, DarkHalo-hackers
Microsoft waarschuwt voor huidige Nobelium-phishingcampagne die zich voordoet als USAID
Microsoft-waarschuwing: deze malware creëert een 'permanente' achterdeur voor hackers
Heb je een tip? Neem veilig contact op via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0
Verwante onderwerpen:
Beveiliging TV-gegevensbeheer CXO-datacenters 