Solarwinds-hackingen

Microsoft: Solarwinds-hackerne på ferde igjen – dette er den nye trusselen

Installerer permanente bakdører.

Nok en gang er Solarwinds-hackerne på ferde, melder Microsoft.
Nok en gang er Solarwinds-hackerne på ferde, melder Microsoft. (Illustrasjonsfoto: Colourbox)

Installerer permanente bakdører.

Den mye omtalte hackingen av det amerikanske programvareselskapet Solarwinds rammet både dypt og bredt, og siden den gang har hackerne bak angrepene fortsatt å prege rampelyset med andre aktiviteter. Nå er vi i gang igjen.

På sikkerhetsbloggen sin omtaler Microsoft nok en gang Nobelium – den samme sofistikerte hackergruppen som var ansvarlige for de såkalte Sunburst- og Teardrop-verktøyene som ble brukt i Solarwinds-angrepene.

Ny, farlig bakdør

Denne gangen advarer Microsoft mot en ny Nobelium-kampanje som innebærer å installere en bakdør – døpt Foggyweb – i såkalte Active Directory Federation Services-servere (AD FS), for å hente ut sensitive data i det skjulte.

AD FS er i korte trekk en programvarekomponent i Windows Server-operativsystemet som gir brukere én enkelt pålogging til systemer og applikasjoner på tvers av sikkerhets- og bedriftsgrenser, ved å dele den digitale identiteten. Microsoft beskriver AD FS i detalj på denne siden.

Selskapets sikkerhetsteam beskriver Foggyweb som en passiv og særdeles målrettet bakdør som er i stand til å hente ut viktige data fra kompromitterte AD FS-servere. I tillegg kan programvaren motta øvrige, ondsinnede komponenter fra en C&C-server og kjøre disse på serveren.

Ifølge Microsoft har Foggyweb blitt benyttet aktivt siden april i år. Selskapet sier de har kontaktet kunder som har blitt kompromittert eller er i faresonen.

Mange taktikker

Nobelium-gruppen benytter en rekke sofistikerte taktikker for å skaffe seg informasjonen som er nødvendig for å få tilgang til serverne. Som Microsoft peker på har hackerne allerede utviklet mange nye, avanserte verktøy utover Solarwinds-verktøyene som gruppen først ble kjent for. 

I mars meldte selskapet for eksempel om ny Nobeliumprogramvare spesifikt designet for å legge til rette for vedvarende, skjult tilgang til nettverkssystemer.

Av andre Nobelium-aktiviteter den siste tiden rapporterte selskapet i mai i år om en omfattende phishing-kampanje rettet mot flere tusen e-postkontoer tilhørende rundt 150 organisasjoner i 24 land. I juni kom det frem at gruppen hadde angrepet Microsofts egen kundestøtte-tjeneste med datastjelende skadevare.

Vi har nok med andre ord ikke sett det siste av Nobelium, som med sine betydelige ressurser kommer til å fortsette å utgjøre en betydelig trussel i tiden fremover. Microsoft har allerede kalt Solarwinds-angrepet det største og mest sofistikerte verden hittil har sett, som Reuters rapporterte. Selskapet estimerer at rundt 1000 ingeniører deltok i hackingen

Alle de tekniske detaljene om den seneste Foggyweb-bakdøren finner du i Microsofts gjennomgang.

Les også

Kommentarer (2)

Kommentarer (2)
Til toppen