هشدار مایکروسافت نسبت به حملات جدید گروه نوبلیوم

Nobelium که به دلیل حمله سال گذشته که از یک نقص امنیتی در نرم افزار مانیتورینگ شبکه SolarWinds سوء استفاده کرد، شناخته شده است، اخیراً بخش متفاوتی را هدف قرار داده است، به ویژه فروشندگان و سایر شرکت هایی که خدمات ابری و سایر فناوری ها را به مشتریان ارائه و مدیریت می کنند.

هدف احتمالی این گروه دستیابی به دسترسی مستقیمی است که فروشندگان به سیستم های فناوری اطلاعات مشتریان خود دارند. در صورت موفقیت، نوبلیوم راهی برای جعل هویت یک ارائه دهنده خدمات فناوری اطلاعات و حمله به مشتریان پایین دستی خود خواهد داشت.

مایکروسافت گفت: “این حملات بخشی از موج بزرگتر فعالیت های نوبلیوم در تابستان امسال بوده است.” در واقع، بین ۱ ژوئیه و ۱۹ اکتبر سال جاری، ما به ۶۰۹ مشتری اطلاع دادیم که ۲۲۸۶۸ بار توسط نوبلیوم مورد حمله قرار گرفته‌اند که نرخ موفقیت آن تک رقمی است. در مقایسه، قبل از اول ژوئیه ۲۰۲۱، ما ۲۰۵۰۰ بار در طول سه سال گذشته به مشتریان در مورد حملات همه بازیگران دولتی اطلاع داده بودیم.

نوبلیوم که به عنوان بخشی از سرویس اطلاعات خارجی SVR روسیه شناخته می‌شود، تنها یکی از بازیگران تلاش‌های کرملین برای دسترسی به سازمان‌های دست اندر کار در تکنولوژی زنجیره تامین فناوری برای نظارت بر آنها است.

به ‌اصطلاح جنگ سرد سایبری در سالهای اخیر شدت گرفته است. زیرا دولتها و گروههایی که به نمایندگی از آنها فعالیت میکنند حملاتی را انجام داده‌اند که نه تنها برای جاسوسی، بلکه برای بی‌ثبات کردن دولت ‌های رقیب طراحی شده‌اند. ایالات متحده از اشاره کردن انگشت به روسیه و چین به عنوان دو عامل اصلی در پشت چندین حادثه کلیدی، پروایی نداشته است.

در فرآیند هک SolarWinds در سال ۲۰۲۰ از یک آسیب پذیری امنیتی در پلتفرم مانیتورینگ شبکه این شرکت، بنام Orion بهره برداری شد. مهاجمان با بهره ‌برداری از این نقص توانستند ایمیل های داخلی وزارت خزانه داری و بازرگانی ایالات متحده را زیر نظر بگیرند و سایر سازمان‌های دولتی و شرکت‌های بخش خصوصی در سراسر جهان را که همگی از محصول Orion استفاده می‌کردند، به خطر بیاندازند.

در ابتدا، مجرم به عنوان یک گروه تحت حمایت روسیه شناخته شد و در نهایت ایالات متحده و سایر نهادها مسئولیت این موضوع را به طور خاص به متوجه گروه نوبلیوم دانستند.

برای انجام آخرین حوادثی که مایکروسافت در روز دوشنبه بیان کرد، Nobelium از تکنیک هایی مانند کمپین های فیشینگ و Password Spraying استفاده کرد، یک تاکتیک brute-force که از طریق آن هکرها از ابزارهای خودکار برای به دست آوردن رمز عبور تعداد زیادی از حساب ها در یک شات استفاده می کنند. این ترفند متکی بر تمایل افراد به استفاده از رمزهای عبور ضعیف یا استفاده مجدد از رمزهای عبور خود در چندین سایت است.

جیک ویلیامز، یکی از بنیانگذاران و CTO (مدیر ارشد فناوری) در BreachQuest (یک شرکت خدمات امنیت سایبری)، گفت: “نوبلیوم یک دشمن واقعاً سرسخت است. اغلب سازمان ها در اصلاح کامل حوادث شکست می خورند چرا که پس از آنکه تصور می کنند اصلاح نقص بصورت کامل صورت پذیرفته است، دسترسی عامل تهدید به شبکه را جدی نمی گیرند.” ” نوبلیوم یکی از بهترین ها در اکوسیستم عوامل تهدید است که پس از تلاش برای اصلاح نقص، غیر قابل کشف باقی می ماند.” ” این یک پروژه DIY ((Do it yourself برای اکثر سازمان ها نیست و به دلیل تنوع انواع ابزارها و صنایع تجاری مورد استفاده، احتمالاً به کمک حرفه ای برای موفقیت نیاز دارند.”

در پست وبلاگ دیگری که روز دوشنبه منتشر شد، مایکروسافت، هشدارهایی را به ارائه دهندگان خدمات ابری، سازمان هایی که به دسترسی های سطح بالا به مشتریان پایین دستی متکی هستند، با مضمون اینکه همگی ممکن است در برابر حملات نوبلیوم آسیب پذیر باشند، صادر کرد.

https://www.microsoft.com/security/blog/2021/10/25/nobelium-targeting-delegated-administrative-privileges-to-facilitate-broader-attacks/

این شرکت گفت که گروهی را کشف کرده است که حساب های با دسترسی سطح بالای ارائه دهندگان خدمات را هدف قرار میدهند تا به صورت جانبی در محیط‌های ابری حرکت کنند و به مشتریان پایین دستی دسترسی پیدا کنند.

مایکروسافت با اشاره به اینکه نوبلیوم این بار مانند هک SolarWinds از یک آسیب پذیری امنیتی استفاده نکرده است، گفت: “تاکتیک های اخیر این گروه شامل حملات زنجیره تامین، سرقت توکن و سوء استفاده از API و فیشینگ هدف دار (spear phishing) است.

دمی بن‌آری، مدیر ارشد فناوری و یکی از بنیانگذاران Panorays، می‌گوید: «وقتی مجرمان سایبری روش حمله‌ای را پیدا می‌کنند که کارآمد است، به آن پایبند می‌مانند. بنابراین جای تعجب نیست که گروه Nobelium، که مسئول حمله گسترده زنجیره تامین SolarWinds در سال گذشته بود، به هدف قرار دادن مشتریان پایین دستی از طریق ارائه دهندگان سرویس هایشان ادامه می دهد تا بیشترین آسیب را وارد کند.

مایکروسافت در پست وبلاگ خود چندین توصیه خاص برای ارائه دهندگان خدمات ابری و مشتریان آنها صادر کرد، مانند: فعال کردن احراز هویت چند عاملی، بررسی گزارش های فعالیت و حذف امتیازات مدیریتی واگذار شده در صورت عدم نیاز. توصیه های مایکروسافت کامل هستند اما اجرای آنها زمان بر است و چالش هایی را برای بسیاری از سازمان ها ایجاد می کند.

ویلیامز گفت: “اجرای برخی از اقدامات کاهشی توصیه شده، مانند بررسی، Hardening و مانیتور کردن تمامی اکانت های ادمین، بررسی سطح دسترسی ارائه دهنده خدمات و بررسی Log های Auditing، باید برای امنیت در هر سازمانی، نقش مهمی ایفا کنند” “با این حال، واقعیت این است که بیشتر سازمان‌ها منابع محدودی دارند و این امر پیروی از این توصیه‌ها را برای سازمان‌های بیشتری دشوار می‌کند.”

اما حتی سازمان‌هایی که فاقد زمان، منابع یا کارکنان هستند، می‌توانند با برخی از شیوه‌ها، امنیت سایبری خود را بهتر تامین کنند.

بن‌آری گفت: “خبر خوب این است که سازمان‌ها می‌توانند با اجرای بهترین شیوه‌های امنیتی از جمله فعال کردن MFA (Multi Factor Authentication) و به حداقل رساندن سطوح دسترسی، به جلوگیری از این نوع حملات کمک کنند.” با این حال، برای انجام سریع و موثر این امر، وجود یک برنامه مدیریت امنیتی قوی و خودکار با تحت نظارت یک شرکت امنیتی، برای ارزیابی شرکای زنجیره تامین، بستن شکاف های سایبری و نظارت مستمر برای هر گونه مشکل، بسیار مهم است.

مایکروسافت نسبت به حملات جدید زنجیره تامین توسط گروه نوبلیوم که تحت حمایت روسیه هستند، هشدار داد.

گروه هک تحت حمایت روسیه که مسئول حمله SolarWinds است، شرکت های بیشتری را با هدف ایجاد اختلال در زنجیره تامین فناوری اطلاعات در سراسر جهان، هدف قرار داده است.

مایکروسافت در یک پست وبلاگی که روز دوشنبه منتشر شد، نسبت به حملات جدید نوبلیوم هشدار داد و فاش کرد که به ۱۴۰ فروشنده و ارائه‌دهنده خدمات فناوری که توسط این گروه هدف قرار گرفته‌اند، اطلاع داده است.

به عنوان بخشی از تحقیقات در حال انجام، مایکروسافت گفت که معتقد است از ماه مه تاکنون ۱۴ مورد از این سازمان ها در معرض خطر قرار گرفته اند.