ทาง Microsoft ได้เปิดเผยรายละเอียดของแคมเปญดังกล่าวออกมาเมื่อวันจันทร์ที่ 25 ตุลาคม ที่ผ่านมานี้ และได้แจ้งเตือนให้กับตัวแทนจำหน่าย และผู้ให้บริการเทคโนโลยีมากกว่า 140 ราย ตั้งแต่เดือนพฤษภาคมที่ผ่านมา ซึ่งระหว่างวันที่ 1 กรกฎาคม ถึง 19 ตุลาคมที่ผ่านมา ทางกลุ่ม Nobelium ได้คัดกลุ่มเป้าหมายกว่า 603 ราย และได้ทำการโจมตีไปแล้วรวมทั้งสิ้นกว่า 22,868 ครั้ง
Tom Burt ,Microsoft's corporate vice president of customer security and trust ได้กล่าวว่า “กิจกรรมของกลุ่ม Nobelium ล่าสุดนี้แสดงให้เห็นว่ารัสเซียกำลังพยายามเข้าถึงเพื่อไปอยู่ในจุดต่าง ๆ ของ Technology supply chain ในระยะยาว และเป็นระบบ และสร้างกลไกสำหรับการสอดแนมในตอนนี้ และในอนาคต กับเป้าหมายที่ทางรัฐบาลรัสเซียให้ความสนใจ”
Nobelium นั้นเป็นผู้โจมตีที่อยู่เบื้องหลังการโจมตี SolarWinds ในเดือนธันวาคม 2563 ที่ผ่านมา และนอกจากการโจมตีดังกล่าว ยังอยู่เบื้องหลังการโจมตีลูกค้า Downstream 14 รายของผู้ให้บริการ Cloud หลาย ๆ เจ้า (CSP) และผู้ให้บริการด้านการจัดการ (MSP) รวมถึงองค์กรบริการด้านไอทีอื่น ๆ อีกด้วย ทำให้เห็นว่ากลุ่มดังกล่าวสนใจการโจมตีเป้าหมายในรูปแบบ Supply Chain เป็นหลัก
การโจมตีที่เปิดเผยออกมานั้นจะเห็นว่าไม่ได้ใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยใด ๆ ในซอฟต์แวร์ แต่จะใช้เทคนิคต่าง ๆ ที่หลากหลาย เช่น Password spraying, token theft, API abuse และ Spear phishing เพื่อขโมยข้อมูล Credentials ของผู้ใช้งานที่มีสิทธิ์สูงจากผู้ให้บริการ ที่จะทำให้ผู้โจมตีสามารถเชื่อมต่อไปยังระบบอื่นๆใน Cloud environment และติดตั้ง Payloads ต่าง ๆ ไว้สำหรับการโจมตีในภายหลัง และการโจมตีอีกรูปแบบหนึ่งที่เกิดขึ้นบ่อย ๆ จากกลุ่มนี้คือการเจาะระบบผ่านผู้ให้บริการเพื่อเข้าไปเก็บข้อมูลของเป้าหมายที่สนใจ
เพื่อเป็นการลดผลกระทบ ทาง Microsoft ได้แนะนำให้บริษัทต่าง ๆ เปิดใช้งาน multi-factor authentication (MFA) และการตรวจสิทธิ์ administrative privileges (DAP) เพื่อป้องกันการโจมตีแบบยกระดับสิทธิ์
ที่มา: thehackernews