Den mye omtalte hackingen av det amerikanske programvareselskapet Solarwinds rammet svært bredt, og detaljer om angrepet har fortsatt å dukke opp lenge etter de første rapportene. Nå viser det seg at bakmennene er på banen igjen med nye aktiviteter.
Microsoft sier de har oppdaget omfattende angrep mot en rekke organisasjoner og institusjoner utført av den samme gruppen som stod bak Solarwinds-hackingen – en gruppe Microsoft har identifisert som Nobelium, som har base i Russland.
Phishing via e-post
Den seneste bølgen av angrep skal hovedsakelig være rettet mot flere tusen e-postkontoer tilhørende rundt 150 organisasjoner i 24 land – hvorav USA er landet med flest ofre.
Angrepene skal ha blitt utført ved at hackerne først skaffet seg tilgang til e-posttjenesten som benyttes av det amerikanske, statlige bistandsbyrået USAID, kalt Constant Contact.
– Derfra var hackerne i stand til å distribuere phishing-eposter som så autentiske ut, men som inkluderte en lenke som, når man klikker på den, legger inn en ondsinnet fil brukt til å distribuere en bakdør vi kaller NativeZone. Denne bakdøren åpner for en lang rekke aktiviteter, fra tyveri av data til infisering av andre datamaskiner i nettverket, skriver Microsoft.
Microsoft sier de har fulgt hackerkampanjen siden januar i år, og den er fortsatt aktiv i skrivende stund. De tekniske detaljene kan man finne i en egen oppdatering på selskapets sikkerhetsblogg.
Den gode nyheten er at mange av angrepene ifølge Microsoft blokkeres av antivirusprogramvare, og selskapet sier de hittil ikke har funnet beviser på omfattende kompromittering av organisasjoner.
Sofistikerte hackere
Som vanlig oppfordres likevel alle til å praktisere normale sikkerhetsrutiner, som å fortsette å bruke antivirusprogrammer, totrinnsverifisering og å la være å klikke på mistenkelige epostlenker.
Selskapet som ble utnyttet av hackerne i dette tilfellet, Constant Contact, tilbyr e-postbasert markedsføring og andre digitale markedsføringstjenester som kunder bruker til å nå ut til et stort antall aktører fra én plattform.
I likhet med Solarwinds-angrepet dreier det seg med andre ord om en type forsyningskjedeangrep, og ifølge Microsoft er det dermed tydeligere enn noensinne at Nobeliums agenda er å rette seg mot betrodde teknologitilbydere for å ramme kundene deres.
Alt tilsier derfor at Nobelium kommer til å fortsette å utgjøre en betydelig trussel i tiden fremover, særlig med tanke på den tekniske kapasiteten som ligger bak. Microsoft har allerede kalt Solarwinds-angrepet det største og mest sofistikerte verden hittil har sett, som Reuters rapporterte. Selskapet estimerer at rundt 1000 ingeniører må ha deltatt i hackingen.
