Nobelium APT

Description de Nobelium APT

Le Nobelium APT est devenu un acteur majeur dans le paysage du cyberespionnage l'année dernière lorsque le groupe de hackers jusqu'alors inconnu a mené une attaque massive de la chaîne d'approvisionnement contre le développeur de logiciels SolarWinds. À l'époque, Microsoft a attribué le nom Solarigate au collectif de hackers, mais l'a ensuite changé en Nobelium. La société de cybersécurité FireEye suit l'activité du groupe sous la désignation UNC2542.

L' attaque SolarWinds

 Le piratage contre SolarWinds a vu Nobelium déployer quatre souches de logiciels malveillants différentes qui les ont aidés à orchestrer l'attaque de la chaîne d'approvisionnement. Tout d'abord, les pirates ont déposé le malware Sunspot sur un serveur de build immédiatement après la violation du réseau de SolarWinds. La souche de malware a été conçue dans un but unique: attendre le serveur de build jusqu'à ce qu'il détecte une commande de build qui assemble l'un des principaux produits de SolarWinds - la plate-forme de surveillance des ressources informatiques Orion. À l'époque, plus de 33 000 clients utilisaient Orion. Lorsque Sunspot identifie les bonnes circonstances à activer, il remplacerait furtivement certains fichiers de code source par des fichiers corrompus qui étaient responsables du chargement de la charge utile suivante - le malware Sunburst. En conséquence, la version désormais trojanisée d' Orion a été distribuée aux clients de la société qui ont ensuite infecté leurs réseaux internes lors de son exécution.

 Sunburst a agi comme un outil de reconnaissance qui a collecté les données des systèmes de l'organisation compromise, puis les a renvoyées aux pirates. Les informations recueillies ont ensuite été utilisées par Nobelium pour décider si la victime spécifique était suffisamment importante pour justifier une nouvelle escalade de l'attaque. Ceux qui ont été jugés valant le risque ont été soumis à la phase finale de l'attaque qui consistait à déployer la plus puissante backdoor Teardrop. Simultanément à la livraison de Teardrop, Sunburst a reçu pour instruction de se supprimer pour réduire l'empreinte de l'attaquant sur le système compromis. Sur quelques victimes sélectionnées, les pirates ont livré une souche de malware qui reflétait fonctionnellement Teardrop mais différait considérablement dans son code sous-jacent. Appelée Raindrop, cette menace de logiciel malveillant a déconcerté les chercheurs car ils ne pouvaient pas déterminer son point d'entrée, contrairement à Teardrop qui a été abandonné directement par le logiciel malveillant Sunburst de l'étape précédente. GoldMax

 Des chercheurs découvrent de nouvelles souches de logiciels malveillants liés à Nobelium

 Les hackers de Nobelium ne ralentissent pas leurs activités, comme l'ont révélé Microsoft et la société de sécurité FireEye qui surveillent toujours le groupe. Les chercheurs ont été témoins de plusieurs nouvelles souches de logiciels malveillants personnalisées qui ont été ajoutées à l'arsenal des cybercriminels. Ceux-ci inclus: 

  • GoldMax / Sunshuttle Malware - une menace de porte dérobée sophistiquée. Sa principale caractéristique est la possibilité de mélanger le trafic causé par sa communication avec les serveurs C2 en sélectionnant des référents à partir d'une liste d'URL de sites Web légitimes qui incluent Google.com, Facebook.com, Yahoo.com et Bing.com.
  •  Le logiciel malveillant Sibot - un compte-gouttes de deuxième étape qui est chargé d'assurer la persistance, puis de récupérer et d'exécuter la charge utile de la prochaine étape à partir des serveurs C2. Son fichier VBScript menaçant prend un nom similaire à une tâche Windows légitime et est ensuite stocké dans le registre ou dans un format obscurci sur le disque du système violé.
  •  The GoldFinder Malware - souche de malware hautement spécialisée qui agit comme un outil de traçage HTTP. La menace trace la route exacte que les paquets empruntent pour se rendre aux serveurs C2. GoldFinder peut alors alerter les pirates Nobelium de tout serveur proxy HTTP ou d'autres redirections causées par des dispositifs de sécurité réseau déployés par l'organisation compromise.

 Nobelium continue de libérer davantage d'outils sur mesure qui les aident à mieux atteindre leurs objectifs menaçants. Les hackers ont déjà réussi à compromettre plus de 18 000 clients de SolarWinds. Parmi les victimes figuraient d'éminentes entreprises technologiques et des agences gouvernementales américaines.