Nobelium是一个臭名昭著的黑客集团,一年前,史上最严重的数据泄露事件,便是他们的“杰作。”
2020年底,据路透社和《华盛顿邮报》报道, 该黑客集团攻击 了SolarWinds旗下的Orion网络监控软件更新服务器,并植入恶意代码,导致美国财政部、商务部等多个政府机构用户,受到长期入侵和监视。
Nobelium之所以有如此强的破坏力,主要跟其入侵方式有关。一般黑客组织会找到入侵目标,一个一个攻击它们,而Nobelium不同,他们会选择攻击云服务提供商,并入侵其所有的企业客户。
这就好比入室盗窃,一般小偷需要挨家挨户溜门撬锁,而Nobelium不一样,它会找到生产门锁的公司,窃取他们制造锁的资料,便可以轻而易举的进入所有人的房间。
根据知名网络安全公司Mandiant报告显示,Nobelium的入侵策略一直没有改变,自去年以来,与SolarWinds黑客事件有关的两个黑客组织:UNC3004和UNC2652,一直在不断设计新方法,以攻击大量的目标。
根据Mandiant的说法,Nobelium黑客集团的攻击方式极具策略性和独创性,包括:
1.善于利用工具
Nobelium不会自己单打独斗,而是善于利用现有的恶意软件或者黑客工具。在这些黑客帮助下,Nobelium甚至不需要入侵云服务提供商的情况下,也能入侵目标。
2.破坏系统权限
一旦Nobelium成功入侵网络,马上会破坏企业垃圾邮件过滤器,或者具有控制权限的功能。这样一来,黑客便可以从受感染网络中的任意一个账号,访问企业电子邮箱或者其他类型的数据,而不需要破解每一个账号。
3.善于伪装
当被攻击的公司的管理员查看访问日志时,他们会发现这些连接都来自权威的本地ISP或者与公司位于同一地域的云服务提供商,Nobelium便可以掩盖入侵行为。
4.绕过安全限制
例如提取虚拟机,以确定他们想要入侵网络的内部路由器配置。
5.巧用访问权限
Nobelium还会获得受害目标存储在云服务提供商中的活动目录的访问权限,并使用强大的工具窃取加密密钥,这些加密密钥会生成令牌,从而绕过双因素身份验证保护。
Nobelium黑客集团的特点是入侵隐秘性很强,受害目标在被入侵时,几乎都没有察觉,直到攻击真正发生时,已经为时已晚。攻击发生后还很难找到任何踪迹。不过,再狡猾的狐狸也有被逮的时候。当黑客试图使用二进制文件,将文件上传到Mega云存储提供商时,由于重命名二进制文件时发生了错误无法执行,这才被发现。
Nobelium黑客集团发动攻击,还有许多与其他黑客组织不一样的地方,例如一旦入侵成功,黑客就会通过访问存储 LSASS 使用的加密机密的内部存储器来提升他们的权限等等。这个黑客集团破坏力十分惊人,而且擅长发动大规模攻击。
近几年,黑客攻击逐渐专业化、集中化,给很多企业造成了巨大损失,越来越多的企业开始意识到网络安全的重要性,投入越来越多的资金以对抗黑客攻击。但是,因为防御方需要全面防御才能奏效,攻击方仅需攻其一点,攻防成本不对等,使黑客有机可乘。网络安全,任重道远。
……