Nobelium是一個臭名昭著的黑客集團,一年前,史上最嚴重的數(shù)據(jù)泄露事件,便是他們的“杰作。”
2020年底,據(jù)路透社和《華盛頓郵報》報道, 該黑客集團攻擊 了SolarWinds旗下的Orion網(wǎng)絡(luò)監(jiān)控軟件更新服務(wù)器,并植入惡意代碼,導(dǎo)致美國財政部、商務(wù)部等多個政府機構(gòu)用戶,受到長期入侵和監(jiān)視。
Nobelium之所以有如此強的破壞力,主要跟其入侵方式有關(guān)。一般黑客組織會找到入侵目標,一個一個攻擊它們,而Nobelium不同,他們會選擇攻擊云服務(wù)提供商,并入侵其所有的企業(yè)客戶。
這就好比入室盜竊,一般小偷需要挨家挨戶溜門撬鎖,而Nobelium不一樣,它會找到生產(chǎn)門鎖的公司,竊取他們制造鎖的資料,便可以輕而易舉的進入所有人的房間。
根據(jù)知名網(wǎng)絡(luò)安全公司Mandiant報告顯示,Nobelium的入侵策略一直沒有改變,自去年以來,與SolarWinds黑客事件有關(guān)的兩個黑客組織:UNC3004和UNC2652,一直在不斷設(shè)計新方法,以攻擊大量的目標。
先進的攻擊方式
根據(jù)Mandiant的說法,Nobelium黑客集團的攻擊方式極具策略性和獨創(chuàng)性,包括:
1.善于利用工具
Nobelium不會自己單打獨斗,而是善于利用現(xiàn)有的惡意軟件或者黑客工具。在這些黑客幫助下,Nobelium甚至不需要入侵云服務(wù)提供商的情況下,也能入侵目標。
2.破壞系統(tǒng)權(quán)限
一旦Nobelium成功入侵網(wǎng)絡(luò),馬上會破壞企業(yè)垃圾郵件過濾器,或者具有控制權(quán)限的功能。這樣一來,黑客便可以從受感染網(wǎng)絡(luò)中的任意一個賬號,訪問企業(yè)電子郵箱或者其他類型的數(shù)據(jù),而不需要破解每一個賬號。
3.善于偽裝
當(dāng)被攻擊的公司的管理員查看訪問日志時,他們會發(fā)現(xiàn)這些連接都來自權(quán)威的本地ISP或者與公司位于同一地域的云服務(wù)提供商,Nobelium便可以掩蓋入侵行為。
4.繞過安全限制
例如提取虛擬機,以確定他們想要入侵網(wǎng)絡(luò)的內(nèi)部路由器配置。
5.巧用訪問權(quán)限
Nobelium還會獲得受害目標存儲在云服務(wù)提供商中的活動目錄的訪問權(quán)限,并使用強大的工具竊取加密密鑰,這些加密密鑰會生成令牌,從而繞過雙因素身份驗證保護。
Nobelium黑客集團的特點是入侵隱秘性很強,受害目標在被入侵時,幾乎都沒有察覺,直到攻擊真正發(fā)生時,已經(jīng)為時已晚。攻擊發(fā)生后還很難找到任何蹤跡。不過,再狡猾的狐貍也有被逮的時候。當(dāng)黑客試圖使用二進制文件,將文件上傳到Mega云存儲提供商時,由于重命名二進制文件時發(fā)生了錯誤無法執(zhí)行,這才被發(fā)現(xiàn)。
Nobelium黑客集團發(fā)動攻擊,還有許多與其他黑客組織不一樣的地方,例如一旦入侵成功,黑客就會通過訪問存儲 LSASS 使用的加密機密的內(nèi)部存儲器來提升他們的權(quán)限等等。這個黑客集團破壞力十分驚人,而且擅長發(fā)動大規(guī)模攻擊。
近幾年,黑客攻擊逐漸專業(yè)化、集中化,給很多企業(yè)造成了巨大損失,越來越多的企業(yè)開始意識到網(wǎng)絡(luò)安全的重要性,投入越來越多的資金以對抗黑客攻擊。但是,因為防御方需要全面防御才能奏效,攻擊方僅需攻其一點,攻防成本不對等,使黑客有機可乘。網(wǎng)絡(luò)安全,任重道遠。
文章轉(zhuǎn)載自蔚可云