Οι Ρώσοι χάκερς Nobelium που ευθύνονται για μια από τις μεγαλύτερες hacking επιθέσεις της προηγούμενης χρονιάς απέναντι στην αμερικανική κυβέρνηση και δεκάδες ιδιωτικές εταιρείες, συμπεριλαμβανομένης της SolarWinds Corp. έχουν εντείνει τις επιθέσεις τους τους τελευταίους μήνες, εισβάλλοντας σε εταιρείες τεχνολογίας σε μια προσπάθεια να κλέψουν ευαίσθητες πληροφορίες. Η Microsoft κοινοποίησε την πιο πρόσφατη δραστηριότητα που παρατήρησε από την ρωσική ομάδα Nobelium. Στο παρακάτω άρθρο θα δείτε όλες τις λεπτομέρειες που ανέφερε η εταιρεία για την συγκεκριμένη ομάδα.
Δείτε επίσης: Ferrara Candy: Χτυπήθηκε από ransomware λίγο πριν το Halloween
Η Nobelium προσπαθεί να επαναλάβει την προσέγγιση που χρησιμοποίησε σε προηγούμενες επιθέσεις στοχεύοντας οργανισμούς που αποτελούν αναπόσπαστο μέρος της παγκόσμιας εφοδιαστικής αλυσίδας IT. Αυτή τη φορά, επιτίθεται σε ένα διαφορετικό τμήμα της αλυσίδας εφοδιασμού: μεταπωλητές και άλλοι πάροχοι υπηρεσιών τεχνολογίας που προσαρμόζουν, αναπτύσσουν και διαχειρίζονται υπηρεσίες cloud και άλλες τεχνολογίες για λογαριασμό των πελατών τους. Η Microsoft λέει: “Πιστεύουμε ότι η Nobelium ελπίζει τελικά να ανακτήσει κάθε άμεση πρόσβαση που μπορεί να έχουν οι μεταπωλητές στα συστήματα IT των πελατών τους και να υποδυθεί πιο εύκολα τον αξιόπιστο τεχνολογικό συνεργάτη ενός οργανισμού για να αποκτήσει πρόσβαση στους μεταγενέστερους πελάτες τους. Ξεκινήσαμε να παρακολουθούμε αυτήν την τελευταία καμπάνια τον Μάιο του 2021 και ειδοποιήσαμε τους επηρεασμένους συνεργάτες και πελάτες, ενώ παράλληλα αναπτύσσουμε νέα τεχνική βοήθεια και καθοδήγηση για την κοινότητα μεταπωλητών.”
Η Microsoft συνεχίζει λέγοντας: “Από τον Μάιο, έχουμε ειδοποιήσει περισσότερους από 140 μεταπωλητές και παρόχους υπηρεσιών τεχνολογίας που έχουν στοχοποιηθεί από την Nobelium. Συνεχίζουμε την έρευνα, αλλά μέχρι σήμερα πιστεύουμε ότι έως και 14 από αυτούς τους μεταπωλητές και παρόχους υπηρεσιών έχουν παραβιαστεί. Ευτυχώς, ανακαλύψαμε αυτήν την καμπάνια στα πρώτα της στάδια και μοιραζόμαστε αυτές τις εξελίξεις για να βοηθήσουμε τους μεταπωλητές υπηρεσιών cloud, τους παρόχους τεχνολογίας και τους πελάτες τους να λάβουν έγκαιρα μέτρα για να εξασφαλίσουν ότι η Nobelium δεν θα συνεχίζει να πετυχαίνει τους στόχους της.”
Δείτε επίσης: Τα data Ιταλών διασημοτήτων εκτέθηκαν σε επίθεση ransomware στη SIAE
Αυτές οι επιθέσεις ήταν μέρος ενός μεγαλύτερου κύματος δραστηριοτήτων των χάκερς. Μάλιστα, μεταξύ 1ης Ιουλίου και 19ης Οκτωβρίου φέτος, ενημερώθηκαν 609 πελάτες ότι είχαν δεχτεί επίθεση από την Nobelium.
Αυτή η πρόσφατη δραστηριότητα είναι ένας άλλος δείκτης ότι η Ρωσία προσπαθεί να αποκτήσει μακροπρόθεσμη, συστηματική πρόσβαση σε διάφορα σημεία των πληροφοριακών συστημάτων και να δημιουργήσει έναν μηχανισμό για την επιτήρηση – τώρα ή στο μέλλον – στόχων που ενδιαφέρουν τη ρωσική κυβέρνηση. Ενώ μοιραζόμαστε εδώ λεπτομέρειες σχετικά με την πιο πρόσφατη δραστηριότητα της Nobelium, το Microsoft Digital Defense Report, που δημοσιεύθηκε νωρίτερα αυτόν τον μήνα, επισημαίνει τις συνεχείς επιθέσεις από άλλους εγκληματίες στον κυβερνοχώρο. Σύμφωνα με αυτές τις επιθέσεις, η Microsoft ειδοποιεί τους πελάτης της όταν στοχοποιούνται ή παραβιάζονται από αυτούς τους χάκερς.
Οι επιθέσεις που εντοπίστηκαν στην πρόσφατη εκστρατεία εναντίον μεταπωλητών και παρόχων υπηρεσιών δεν προσπάθησαν να εκμεταλλευτούν οποιοδήποτε ελάττωμα ή ευπάθεια στο software, αλλά χρησιμοποίησαν γνωστές τεχνικές, όπως password spray και phishing, για την κλοπή νόμιμων credentials και την απόκτηση προνομιακής πρόσβασης.
Η Microsoft συνεχίζει λέγοντας: “Συντονιζόμαστε και με άλλους στην κοινότητα ασφαλείας για να βελτιώσουμε τις γνώσεις μας και την προστασία έναντι της δραστηριότητας της Nobelium και συνεργαζόμαστε στενά με κυβερνητικές υπηρεσίες στις ΗΠΑ και την Ευρώπη. Ενώ γνωρίζουμε ξεκάθαρα ότι τα nation-states, συμπεριλαμβανομένης της Ρωσίας, δεν θα σταματήσουν επιθέσεις σαν αυτές εν μία νυκτί, πιστεύουμε ότι βήματα όπως το εκτελεστικό διάταγμα για την ασφάλεια στον κυβερνοχώρο στις ΗΠΑ και ο μεγαλύτερος συντονισμός και η ανταλλαγή πληροφοριών που έχουμε δει μεταξύ βιομηχανίας και κυβέρνησης τα τελευταία δύο χρόνια, μας έφεραν όλους σε πολύ καλύτερη θέση άμυνας εναντίον τους.”
Δείτε επίσης: Evil Corp: Απαιτεί 40 εκατομμύρια δολάρια σε επιθέσεις ransomware Macaw
Η Microsoft αναφέρει: “Διατηρούμε και αναπτύσσουμε εδώ και καιρό τις απαιτήσεις ασφάλειας και τις πολιτικές που εφαρμόζουμε με παρόχους υπηρεσιών που πωλούν ή υποστηρίζουν τεχνολογία Microsoft. Για παράδειγμα, τον Σεπτέμβριο του 2020, ενημερώσαμε τις συμβάσεις με τους μεταπωλητές μας για να επεκτείνουμε τις ικανότητες και τα δικαιώματα της Microsoft για την αντιμετώπιση περιστατικών ασφαλείας μεταπωλητών και να απαιτήσουμε από τους μεταπωλητές να εφαρμόζουν συγκεκριμένες προστασίες ασφαλείας για το περιβάλλον τους, όπως ο περιορισμός της πρόσβασης στο Partner Portal και η απαίτηση από τους μεταπωλητές να επιτρέπουν πολλαπλό έλεγχο ταυτότητας παραγόντων (MFA) για την πρόσβαση στις πύλες cloud και στις υποκείμενες υπηρεσίες μας, και θα λάβουμε τα απαραίτητα και κατάλληλα μέτρα για την επιβολή αυτών των δεσμεύσεων ασφαλείας. Συνεχίζουμε να αξιολογούμε και να εντοπίζουμε νέες ευκαιρίες για μεγαλύτερη ασφάλεια σε όλο το οικοσύστημα συνεργατών, αναγνωρίζοντας την ανάγκη για συνεχή βελτίωση. Ως αποτέλεσμα των όσων μάθαμε τους τελευταίους μήνες, εργαζόμαστε για την εφαρμογή βελτιώσεων που θα βοηθήσουν στην καλύτερη ασφάλεια και προστασία του οικοσυστήματος, ειδικά για τους τεχνολογικούς εταίρους στην αλυσίδα εφοδιασμού μας.”
Συγκεκριμένα:
- Όπως σημειώθηκε παραπάνω, τον Σεπτέμβριο του 2020, η Microsoft ανέπτυξε το MFA για πρόσβαση στο Partner Center και για χρήση του εκχωρημένου διαχειριστικού προνομίου (DAP) για τη διαχείριση ενός customer environment
- Στις 15 Οκτωβρίου, ξεκίνησε ένα πρόγραμμα για την παροχή δωρεάν προγράμματος Azure Active Directory Premium για δύο χρόνια που παρέχει εκτεταμένη πρόσβαση σε πρόσθετες λειτουργίες premium για την ενίσχυση των ελέγχων ασφαλείας
- Τα εργαλεία προστασίας από απειλές και λειτουργιών ασφαλείας της Microsoft, όπως το Microsoft Cloud App Security (MCAS), το M365 Defender, το Azure Defender και το Azure Sentinel έχουν προσθέσει ανιχνεύσεις για να βοηθήσουν τους οργανισμούς να εντοπίσουν και να ανταποκριθούν σε αυτές τις επιθέσεις
- Αυτήν τη στιγμή εφαρμόζονται πιλοτικά νέες και πιο αναλυτικές λειτουργίες για οργανισμούς που θέλουν να παρέχουν προνομιακή πρόσβαση σε resellers
- Εφαρμόζεται βελτιωμένη παρακολούθηση για να δοθεί η δυνατότητα στους συνεργάτες και τους πελάτες να διαχειρίζονται και να ελέγχουν τους εκχωρημένους προνομιακούς λογαριασμούς τους και να αφαιρούν το περιττό authority
- Ελέγχονται αχρησιμοποίητοι προνομιακοί λογαριασμοί και αφαιρούνται περιττά προνόμια και προσβάσεις
Επίσης, η εταιρεία δημοσιεύει και τεχνικές οδηγίες που μπορούν να βοηθήσουν τους οργανισμούς να προστατευτούν από την πιο πρόσφατη δραστηριότητα της Nobelium που έχει παρατηρηθεί, καθώς οι χάκερς έχουν βελτιώσει τις τεχνικές τους.
Πηγή πληροφοριών: blogs.microsoft.com
