Nobelium APT

El Nobelium APT se convirtió en un actor importante en el panorama del ciberespionaje el año pasado cuando el grupo de hackers, previamente desconocido, llevó a cabo un ataque masivo a la cadena de suministro contra el desarrollador de software SolarWinds. En ese momento, Microsoft asignó el nombre Solarigate al colectivo de hackers, pero luego lo cambió a Nobelium. La empresa de ciberseguridad FireEye rastrea la actividad del grupo bajo la designación UNC2542.

El ataque de los vientos solares

 El ataque contra SolarWinds vio a Nobelium desplegar cuatro cepas de malware diferentes que les ayudaron a orquestar el ataque a la cadena de suministro. Primero, los piratas informáticos lanzaron el malware Sunspot en un servidor de compilación inmediatamente después de que ocurriera la violación de la red de SolarWinds. La cepa de malware fue diseñada con un propósito singular: esperar en el servidor de compilación hasta que detecte un comando de compilación que ensambló uno de los productos principales de SolarWinds: la plataforma de monitoreo de recursos de TI Orion. En ese momento, más de 33.000 clientes usaban Orion. Cuando Sunspot identifica las circunstancias adecuadas para activar, reemplaza sigilosamente ciertos archivos de código fuente con archivos corruptos que eran responsables de cargar la carga útil de la siguiente etapa: el malware Sunburst. Como resultado, la versión ahora troyanizada de Orion se distribuyó a los clientes de la empresa, quienes luego infectaron sus redes internas al ejecutarla.

 Sunburst actuó como una herramienta de reconocimiento que recopiló datos de los sistemas de la organización comprometida y luego los transmitió a los piratas informáticos. La información recopilada fue luego utilizada por Nobelium para decidir si la víctima específica era lo suficientemente importante como para justificar una mayor escalada del ataque. Aquellos que se consideró que valían la pena correr el riesgo fueron sometidos a la fase final del ataque que consistió en desplegar la puerta trasera Teardrop más poderosa. Simultáneamente con la entrega de Teardrop, Sunburst recibió instrucciones de borrarse a sí mismo para reducir la huella del atacante en el sistema comprometido. En unas pocas víctimas seleccionadas, los piratas informáticos entregaron una cepa de malware que reflejaba funcionalmente a Teardrop, pero difería drásticamente en su código subyacente. Llamada Raindrop, esta amenaza de malware desconcertó a los investigadores ya que no pudieron determinar su punto de entrada, a diferencia de Teardrop, que fue eliminado directamente por el malware Sunburst de la etapa anterior. GoldMax

 Investigadores descubren nuevas cepas de malware relacionadas con el Nobelio

 Los piratas informáticos de Nobelium no están ralentizando sus actividades, como revelaron Microsoft y la compañía de seguridad FireEye, que aún monitorean al grupo. Los investigadores han sido testigos de varias nuevas cepas de malware de creación personalizada que se han agregado al arsenal de ciberdelincuentes. Éstos incluyen: 

• GoldMax / Sunshuttle Malware: una sofisticada amenaza de puerta trasera. Su característica principal es la capacidad de combinar el tráfico causado por su comunicación con los servidores C2 mediante la selección de referencias de una lista de URL de sitios web legítimos que incluyen Google.com, Facebook.com, Yahoo.com y Bing.com.
•  Sibot Malware: un cuentagotas de segunda etapa que tiene la tarea de lograr la persistencia y luego buscar y ejecutar la carga útil de la siguiente etapa desde los servidores C2. Su archivo VBScript amenazante asume un nombre similar a una tarea legítima de Windows y luego se almacena en el Registro o en un formato ofuscado en el disco del sistema violado.
•  GoldFinder Malware: cepa de malware altamente especializado que actúa como una herramienta de rastreo HTTP. La amenaza traza la ruta exacta que toman los paquetes en su camino hacia los servidores C2. Luego, GoldFinder puede alertar a los piratas informáticos de Nobelium sobre cualquier servidor proxy HTTP u otras redirecciones causadas por dispositivos de seguridad de red implementados por la organización comprometida.

 Nobelium continúa lanzando más herramientas personalizadas que los ayudan a lograr mejor sus amenazadoras metas. Los piratas informáticos ya lograron comprometer a más de 18,000 de los clientes de SolarWinds. Entre las víctimas se encontraban destacadas empresas tecnológicas y agencias gubernamentales de Estados Unidos.