0
0
O Nobelium, o ator avançado e persistente (APT) por trás do ataque à cadeia de suprimentos da SolarWinds de 2020, que serviu como trampolim para violar a variedade de alvos de alto nível, está visando organizações por meio de seus vários provedores de serviços.
“A Nobelium tem tentado replicar a abordagem que usou em ataques passados, visando organizações integrantes da cadeia de suprimentos global de TI. Desta vez, está atacando uma parte diferente da cadeia de suprimentos: revendedores e outros provedores de serviços de tecnologia que personalizam, implantam e gerenciam serviços em nuvem e outras tecnologias em nome de seus clientes”, diz Tom Burt, vice-presidente corporativo de Segurança e Confiança do Cliente da Microsoft.
“Acreditamos que a Nobelium, em última análise, espera pegar carona em qualquer acesso direto que os revendedores possam ter aos sistemas de TI de seus clientes e, mais facilmente, se passar pelo parceiro de tecnologia confiável de uma organização para obter acesso aos seus clientes a jusante.”
Segmentação de provedores de serviços
De acordo com os analistas de ameaças da Microsoft, a Nobelium tem tentado comprometer os provedores de serviços em nuvem, provedores de serviços gerenciados e outras organizações de serviços de TI nos EUA e na Europa, para, em última análise, atingir organizações governamentais, think tanks e empresas que essas empresas atendem.
O ator de ameaças aparentemente não aproveita as vulnerabilidades do produto, mas tem outras ferramentas em seu arsenal ofensivo – malware, pulverização de senhas, ataques na cadeia de suprimentos, roubo de tokens, abuso de API e spear phishing – para roubar credenciais legítimas e obter acesso privilegiado. Muitas vezes, atacantes do Nobel tentam métodos diferentes e sondam vários terceiros para ter acesso a um alvo específico (como ilustrado na imagem acima).
A Microsoft detectou mais de 140 revendedores e provedores de serviços de tecnologia sendo alvo dos atacantes, mas nem todos os ataques foram bem-sucedidos.
“Continuamos investigando, mas até o momento acreditamos que até 14 desses revendedores e prestadores de serviços foram comprometidos. Felizmente, descobrimos esta campanha durante seus estágios iniciais e estamos compartilhando esses desenvolvimentos para ajudar revendedores de serviços em nuvem, provedores de tecnologia e seus clientes a tomar medidas oportunas para ajudar a garantir que o Nobelium não seja mais bem-sucedido ”, acrescentou Burt.
Além de notificar entidades-alvo, a Microsoft tem trabalhado na implementação de melhorias para ajudar a proteger os parceiros de tecnologia em sua cadeia de suprimentos.
A empresa também compartilhou TTPs de atacantes, consultas de caça a ameaças para detecção e investigação e orientação técnica específica para possíveis alvos: provedores de serviços, organizações que dependem de privilégios elevados e clientes a jusante.
Um ator do estado-nação?
“O nobelium é frequentemente observado realizando atividades consistentes com a coleta de inteligência”, ressaltou a Microsoft.
A empresa (e o governo dos EUA e outros governos) acreditam que o Nobelium faz parte do serviço de inteligência estrangeira (SVR) da Rússia.
“Esta atividade recente é outro indicador de que a Rússia está tentando obter acesso sistemático e de longo prazo a uma variedade de pontos na cadeia de suprimentos de tecnologia e estabelecer um mecanismo para vigiar – agora ou no futuro – alvos de interesse para o governo russo”, observou Burt.
Os analistas da Microsoft alertaram que as organizações anteriormente visadas pelo Nobelium devem monitorar ataques recorrentes do mesmo ator.
FONTE: HELPNET SECURITY