Il gruppo di hacker sostenuto dalla Russia responsabile dell’attacco SolarWinds ha preso di mira più aziende con l’obiettivo di interrompere la catena di approvvigionamento IT mondiale.
In un post sul blog pubblicato lunedì, Microsoft ha avvertito di nuovi attacchi da parte di Nobelium, rivelando di aver notificato 140 rivenditori e fornitori di servizi tecnologici presi di mira dal gruppo.
Nell’ambito di un’indagine in corso, Microsoft ha affermato di ritenere che ben 14 di queste organizzazioni siano state compromesse da maggio. Noto per un attacco lo scorso anno che ha sfruttato un difetto di sicurezza nel software di monitoraggio della rete di SolarWinds, Nobelium ha recentemente preso di mira un segmento diverso, in particolare rivenditori e altri fornitori di servizi che gestiscono servizi cloud e altre tecnologie per i clienti.
Il probabile obiettivo del gruppo è ottenere l’accesso diretto dei rivenditori ai sistemi informatici dei propri clienti. In caso di successo, Nobelium avrebbe un modo per impersonare un fornitore di tecnologia e attaccare i suoi clienti a valle. Questi attacchi hanno fatto parte di una più ampia ondata di attività Nobelium quest’estate”, ha affermato Microsoft. “In effetti, tra il 1° luglio e il 19 ottobre di quest’anno, abbiamo informato 609 clienti che erano stati attaccati 22.868 volte da Nobelium, con un successo tasso nelle singole cifre basse. In confronto, prima del 1° luglio 2021, negli ultimi tre anni avevamo informato i clienti di attacchi da parte di tutti gli attori dello stato nazionale 20.500 volte”.
Identificato come parte del servizio di intelligence estero SVR della Russia, Nobelium è solo uno degli attori negli sforzi del Cremlino per ottenere l’accesso alle organizzazioni nella catena di fornitura della tecnologia per condurre la sorveglianza. La cosiddetta guerra fredda informatica si è accesa negli ultimi anni quando gli stati nazionali e i gruppi che operano per loro conto hanno lanciato attacchi progettati non solo per spiare ma anche per destabilizzare i governi rivali. Gli Stati Uniti non sono stati timidi nel puntare il dito contro Russia e Cina come due dei principali responsabili di diversi incidenti chiave.
L’hack di SolarWinds del 2020 ha sfruttato una vulnerabilità di sicurezza nella piattaforma di monitoraggio di rete Orion dell’azienda. Sfruttando questo difetto, gli aggressori sono stati in grado di monitorare le e-mail interne presso i dipartimenti del Tesoro e del Commercio degli Stati Uniti e compromettere altre agenzie governative e aziende del settore privato in tutto il mondo, che hanno utilizzato il prodotto Orion. Inizialmente, il colpevole è stato pubblicamente identificato come un gruppo sostenuto dalla Russia; alla fine gli Stati Uniti e altre entità hanno dato la colpa specificamente a Nobelium.
Per portare a termine gli ultimi incidenti delineati da Microsoft, Nobelium ha impiegato tecniche come campagne di phishing e password spraying, una tattica di attraverso la quale gli hacker utilizzano strumenti automatizzati per cercare di ottenere le password di un gran numero di account in un colpo solo. Questo trucco si basa sull’inclinazione delle persone a utilizzare password deboli o a riutilizzare le proprie password su più siti.
“Nobelium è un avversario davvero persistente”, ha affermato Jake Williams, co-fondatore e CTO di BreachQuest. “Spesso le organizzazioni non riescono a rimediare completamente agli incidenti, lasciando all’autore della minaccia l’accesso alla rete dopo che la riparazione è considerata completa. Nobelium è uno dei migliori nell’ecosistema dell’attore delle minacce a rimanere inosservato dopo un tentativo di riparazione. Questo non è un progetto fai-da-te per la maggior parte delle organizzazioni e probabilmente richiederà assistenza professionale per avere successo a causa della varietà di strumenti e artigianato utilizzati”.