هشدار مایکروسافت نسبت به ادامه‌ی حملات زنجیره‌ی تأمین توسط گروه هکری Nobelium

Nobelium

Nobelium، عامل تهدید[۱] پشت SolarWinds در دسامبر ۲۰۲۰، پشت موج جدیدی از حملات بوده است که ۱۴ مشتری پایین‌دست چندین ارائه‌دهنده‌ی خدمات ابری (CSP)، ارائه‌دهندگان خدمات مدیریت‌شده (MSP) و سایر سازمان‌های خدمات فناوری اطلاعات را به خطر انداخته است. این حملات علاقه‌ی مستمر دشمن به هدف قرار دادن زنجیره‌ی تأمین از طریق رویکرد compromise-one-to-compromise-many را نشان می‌دهد.

مایکروسافت که جزئیات این کمپین را روز دوشنبه ۲۵ اکتبر ۲۰۲۱ فاش کرد، گفت که از ماه می به بیش از ۱۴۰ فروشنده و ارائه‌دهنده‌ی خدمات فناوری هشدار داده شده است. گفته می‌شود بین ۱ ژوئیه و ۱۹ اکتبر ۲۰۲۱، نوبلیوم ۶۰۹ مشتری را مشخص کرده است که مجموعاً ۲۲۸۶۸ بار موردحمله قرارگرفته‌اند.

Tom Burt، معاون شرکت مایکروسافت در بخش امنیت و اعتماد مشتریان گفت[۲] این فعالیت اخیر نشانه‌ی دیگری است مبنی بر اینکه روسیه در تلاش است تا درازمدت و سیستماتیک به نقاط مختلفی در زنجیره تأمین فناوری دسترسی پیدا کند و مکانیزمی برای نظارت – در حال حاضر یا در آینده – از اهداف مورد علاقه‌ی دولت روسیه است.

حملات تازه افشاشده از ضعف‌های امنیتی خاصی در نرم‌افزار استفاده نمی‌کند بلکه از طیف وسیعی از تکنیک‌ها مانند پاشش رمز عبور، سرقت توکن، سوءاستفاده از API و spear-phishing برای جاسوسی اعتبار مربوط به حساب‌های ممتاز ارائه‌دهندگان خدمات استفاده می‌کند[۳] و مهاجمان را برای حرکت جانبی در محیط‌های ابری و ایجاد نفوذ بیشتر تقویت می‌کند.

به گفته مایکروسافت، به نظر می‌رسد ” Nobeliumدرنهایت امیدوار است از هرگونه دسترسی مستقیمی که فروشندگان ممکن است به سیستم‌های IT مشتریان خود داشته باشند استفاده کند و راحت‌تر هویت شریک فناوری مورد اعتماد یک سازمان را برای دسترسی به مشتریان پایین‌دستی خود جعل کند.”

درهرصورت، این حملات تجلی دیگری از تاکتیک‌های مکرر Nobelium است که مشخص شده است از روابط مورد اعتمادی که ارائه‌دهندگان خدمات از آن برخوردارند برای نقب زدن به قربانیان متعدد موردعلاقه برای کسب اطلاعات، سوءاستفاده می‌کند. به‌عنوان اقدامات پیشگیرانه، این شرکت به شرکت‌ها توصیه می‌کند که احراز هویت چندعاملی (MFA) و امتیازات مدیریتی واگذارشده (DAP) را فعال کنند تا از هرگونه سوءاستفاده احتمالی از مجوزهای بالا جلوگیری شود.

این توسعه همچنین کمتر از یک ماه پس‌ازاینکه این غول فناوری یک درب پشتی غیرفعال و بسیار هدفمند جدید با نام “FoggyWeb” را معرفی کرد[۴] که توسط یک گروه هکری برای تحویل بارهای اضافی و سرقت اطلاعات حساس از سرورهای Active Directory Federation Services (AD FS) مستقر شده است، به دست می‌آید.