Den mye omtalte hackingen av det amerikanske programvareselskapet Solarwinds rammet både dypt og bredt, og siden den gang har hackerne bak angrepene fortsatt å prege rampelyset med andre aktiviteter. Nå er vi i gang igjen.
På sikkerhetsbloggen sin omtaler Microsoft nok en gang Nobelium – den samme sofistikerte hackergruppen som var ansvarlige for de såkalte Sunburst- og Teardrop-verktøyene som ble brukt i Solarwinds-angrepene.
Ny, farlig bakdør
Denne gangen advarer Microsoft mot en ny Nobelium-kampanje som innebærer å installere en bakdør – døpt Foggyweb – i såkalte Active Directory Federation Services-servere (AD FS), for å hente ut sensitive data i det skjulte.
AD FS er i korte trekk en programvarekomponent i Windows Server-operativsystemet som gir brukere én enkelt pålogging til systemer og applikasjoner på tvers av sikkerhets- og bedriftsgrenser, ved å dele den digitale identiteten. Microsoft beskriver AD FS i detalj på denne siden.
Selskapets sikkerhetsteam beskriver Foggyweb som en passiv og særdeles målrettet bakdør som er i stand til å hente ut viktige data fra kompromitterte AD FS-servere. I tillegg kan programvaren motta øvrige, ondsinnede komponenter fra en C&C-server og kjøre disse på serveren.
Ifølge Microsoft har Foggyweb blitt benyttet aktivt siden april i år. Selskapet sier de har kontaktet kunder som har blitt kompromittert eller er i faresonen.
Mange taktikker
Nobelium-gruppen benytter en rekke sofistikerte taktikker for å skaffe seg informasjonen som er nødvendig for å få tilgang til serverne. Som Microsoft peker på har hackerne allerede utviklet mange nye, avanserte verktøy utover Solarwinds-verktøyene som gruppen først ble kjent for.
I mars meldte selskapet for eksempel om ny Nobeliumprogramvare spesifikt designet for å legge til rette for vedvarende, skjult tilgang til nettverkssystemer.
Av andre Nobelium-aktiviteter den siste tiden rapporterte selskapet i mai i år om en omfattende phishing-kampanje rettet mot flere tusen e-postkontoer tilhørende rundt 150 organisasjoner i 24 land. I juni kom det frem at gruppen hadde angrepet Microsofts egen kundestøtte-tjeneste med datastjelende skadevare.
Vi har nok med andre ord ikke sett det siste av Nobelium, som med sine betydelige ressurser kommer til å fortsette å utgjøre en betydelig trussel i tiden fremover. Microsoft har allerede kalt Solarwinds-angrepet det største og mest sofistikerte verden hittil har sett, som Reuters rapporterte. Selskapet estimerer at rundt 1000 ingeniører deltok i hackingen.
Alle de tekniske detaljene om den seneste Foggyweb-bakdøren finner du i Microsofts gjennomgang.
2021 rekordår for nulldagsutnyttelser: Vanskeligere og dyrere, men med større gevinst
