Dieser Bericht beschreibt die einzigartige Infrastruktur, die von der vom russischen Staat gesponserten Bedrohungsaktivitätsgruppe NOBELIUM verwendet wird. Die Aktivität wurde durch eine Kombination aus groß angelegter automatisierter Netzwerkverkehrsanalyse und Analyse aus Open-Source-Berichten identifiziert. Zu den Datenquellen gehören die Recorded Future Platform, SecurityTrails, DomainTools, PolySwarm, Farsight, Shodan, Censys, Pure Signal ™ von Team Cymru und andere gängige Open-Source-Tools und -Techniken. Der Bericht dürfte vor allem für Personen von Interesse sein, die sich mit strategischen und operativen Geheimdienstinformationen zu den Aktivitäten der russischen Regierung im Cyberspace und zu Netzwerkverteidigern befassen. Einige technische Details aus unserer ursprünglichen Forschung wurden in diese Berichtsversion nicht aufgenommen, um Tracking-Techniken und laufende Forschungen zur NOBELIUM-Aktivität zu schützen.

Executive Summary

Die Insikt Group von Recorded Future überwacht weiterhin vom russischen Staat geförderte Cyber-Spionageoperationen, die sich gegen staatliche und private Organisationen in mehreren geografischen Regionen richten. Ab Mitte 2021 zeigte die Mittelpunktserfassung von Recorded Future einen stetigen Anstieg der Nutzung der NOBELIUM-Infrastruktur, die von der Insikt Group als SOLARDEFLECTION verfolgt wird und die Befehls- und Kontrollinfrastruktur (C2) umfasst. In diesem Bericht heben wir Trends hervor, die der Insikt Group bei der Überwachung der SOLARDEFLECTION-Infrastruktur und der wiederkehrenden Verwendung von Typosquat-Domains durch ihre Betreiber aufgefallen sind.

Ein Schlüsselfaktor, den wir bei an Bedrohungsaktivitäten beteiligten NOBELIUM-Betreibern beobachtet haben, ist die Abhängigkeit von Domänen, die andere Marken imitieren (einige davon sind legitime und einige sind wahrscheinlich fiktive Unternehmen). Domänenregistrierungen und Typosquats können Spearphishing-Kampagnen oder Weiterleitungen ermöglichen, die eine Bedrohung für die Netzwerke und Marken der Opfer darstellen.

Durch eine Kombination aus proaktiver Erkennung gegnerischer Infrastrukturen, Domänenanalysetechniken und aufgezeichneter zukünftiger Netzwerkverkehrsanalyse haben wir ermittelt, dass sich die Nutzung der SOLARDEFLECTION-Infrastruktur durch NOBELIUM mit anderen gängigen Infrastrukturtaktiken, -techniken und -verfahren (TTPs) überschneidet, die der Gruppe zuvor von mehreren Organisationen zugeschrieben wurden, darunter Microsoft, Fortinet, Sekoia und Volexity. Frühere Berichte zu Open Source hoben auch die Verwendung gecrackter Versionen des Penetrationstest-Tools Cobalt Strike durch NOBELIUM hervor.

Wichtige Urteile

• Die Insikt Group ist davon überzeugt, dass die identifizierte SOLARDEFLECTION-Infrastruktur der Bedrohungsaktivitätsgruppe zugeschrieben werden kann, die öffentlich als NOBELIUM gemeldet wurde. Diese Annahme gründet sich auf die Verwendung überlappender Netzwerkinfrastrukturen, die in öffentlichen Berichten zuvor NOBELIUM zugeschrieben wurden, sowie auf einzigartigen Variationen von Cobalt Strike, die traditionell von der Gruppe verwendet werden.
• Zu den allgemeineren Themen der Typosquats von SOLARDEFLECTION C2 gehörte der Missbrauch von Marken in mehreren Branchen, insbesondere in der Nachrichten- und Medienbranche.
• Mit der SOLARDEFLECTION-Überwachung in Zusammenhang stehende Cobalt-Strike-Server, die zuvor auch mit der NOBELIUM-Aktivität verknüpft waren, verwendeten geänderte Serverkonfigurationen, wahrscheinlich in dem Versuch, von Forschern unentdeckt zu bleiben, die aktiv nach Standardfunktionen der Cobalt-Strike-Server suchten.
• NOBELIUM macht in SSL-Zertifikaten in großem Umfang Gebrauch von Typosquat-Domänen und wird bei der Nutzung der Cobalt Strike-Tools wahrscheinlich auch weiterhin irreführende Techniken einsetzen, darunter die Typosquat-Umleitung.

Hintergrund

Die Analyse aktueller und historischer Bereiche, die NOBELIUM zugeschrieben werden, zeigt im Großen und Ganzen, dass die Gruppe mit einer Vielzahl von Medien-, Nachrichten- und Technologieanbietern vertraut ist und dazu neigt, ihnen nachzueifern. Die Gruppe hat die dynamische DNS-Auflösung missbraucht, um zufällig generierte Subdomains für ihre C2s oder Root-Domains zu erstellen und aufzulösen, um die Opfer in die Irre zu führen. Der wichtigste Aspekt bei diesen Angriffen ist die Verwendung von E-Mail-Adressen oder URLs, die der Domain einer legitimen Organisation ähneln. Potenziell schädliche Domain-Registrierungen und Typosquats können Spearphishing-Kampagnen oder Weiterleitungen ermöglichen, die ein erhöhtes Risiko für die Marke oder die Mitarbeiter eines Unternehmens darstellen. Ein erfolgreiches Spearphish ist abhängig von Faktoren wie der Qualität der Nachricht, der Glaubwürdigkeit der Absenderadresse und im Falle einer umleitenden URL von der Glaubwürdigkeit des Domainnamens. Die Insikt Group hat bereits beobachtet, dass andere russische Nexus-Gruppen Typosquatting zur Unterstützung von Operationen einsetzen, z. B. im Hinblick auf die Präsidentschaftswahlen 2020, um das Vertrauen in die Gültigkeit des betrügerischen Login-Portals zu stärken, das zum Sammeln von Anmeldeinformationen der Opfer verwendet wird. Über diese Taktik wurde kürzlich auch in offenen Quellen im Zusammenhang mit Eindringlingen berichtet , die auf Einrichtungen in der Ukraine abzielen, wahrscheinlich zur Unterstützung der russischen Invasion des Landes.

Die Insikt Group geht davon aus, dass NOBELIUM eine Bedrohungsaktivitätsgruppe ist, die im Einklang mit den Zielen des russischen Auslandsgeheimdienstes (SVR) operiert. Die Aufgabe des SVR besteht darin, dem Präsidenten der Russischen Föderation, der Bundesversammlung und der Regierung die Informationen zu liefern, die sie für ihre Entscheidungen in den Bereichen Politik, Wirtschaft, Militärstrategie, wissenschaftlich-technische Strategie und Umwelt benötigen. Der russische Geheimdienst SVR definiert sich als unabhängig, indem er dem russischen Hauptnachrichtendienst (GRU) erlaubt, sich auf militärische Geheimdienstoperationen zu konzentrieren , während sich der SVR auf politische Geheimdienste konzentriert . Dies ist jedoch eine sehr hochrangige Sicht auf diese Operationen. Der SVR führt seine Geschäfte durch die Erhebung von Informationen über öffentliche und private Mittel mit dem Ziel, strategische Informationen von Organisationen und Einzelpersonen zu sammeln, die wiederum Einfluss auf die strategische Politik und die Entscheidungsträger in den Zielländern haben.

Im Jahr 2021 veröffentlichte Volexity eine Studie , in der eine mutmaßliche APT29-Phishing-Operation beschrieben wurde, die auf Nichtregierungsorganisationen (NGOs), Forschungseinrichtungen, Regierungen und internationale Gremien abzielte und Köder zum Thema Wahlbetrug verwendete, die angeblich von der United States Agency for International Development (USAID), einer Regierungsbehörde, gesendet wurden. Am selben Tag veröffentlichte Microsoft auch eine Studie über breitere TTPs, die in derselben Kampagne verwendet wurden, und schrieb die Aktivität NOBELIUM zu, der Gruppe hinter den SolarWinds-Eingriffen. Diese Kampagne richtete sich bereits im Februar 2021 gegen sensible diplomatische und staatliche Einrichtungen. Sie glauben, dass der Bedrohungsakteur diese Informationen verwendet hat, um im Rahmen seiner breiter angelegten Kampagne weitere sehr gezielte Angriffe zu starten. Zusätzliche Untersuchungen bestätigten, dass sich ein Cluster von Infrastrukturen, die seit 2021 von der Insikt Group unter der Bezeichnung SOLARDEFLECTION überwacht werden, mit dieser früheren Berichterstattung überschneidet. Laufende Erkennungen im Sicherheits-Feed "Recorded Future Command and Control" halfen bei der Bestätigung der Registrierung neuer Typosquat-Domains, die mit NOBELIUM-Operationen verbunden sind. Insbesondere haben wir bestätigt, dass mehrere neu identifizierte Typosquats weiterhin die Namenskonventionen oder Themen übernehmen, die ursprünglich bereits 2020 als wahrscheinlich mit der NOBELIUM-Berichterstattung in Verbindung gebracht wurden.

Die Recorded Future-Plattform erkennt Typosquatting-Domänen automatisch; jede neu erstellte Domänenentität wird auf Ähnlichkeiten im Typosquatting-Stil mit anderen von Recorded Future beobachteten Domänen geprüft. Ein Beispiel hierfür ist der in Abbildung 1 angezeigte Typosquat „SOLARDEFLECTION“, bei dem es sich aufgrund der Schreibweise der Domäne sehr wahrscheinlich um einen Versuch der NOBELIUM-Betreiber handelte, die Marke T-Mobile zu imitieren. Eine Überprüfung der Häufigkeit, mit der SOLARDEFLECTION-Domains in den letzten zwei Jahren registriert wurden, bestätigte die Tendenz von NOBELIUM, Domains in Zyklen zu registrieren, wobei gelegentlich kurze Pausen eingelegt werden, die zeitweise wahrscheinlich mit neuen Open-Source-Berichten zusammenfielen, in denen mehrere Domains der NOBELIUM-Aktivität zugeschrieben wurden (wie in der Recorded Future-Zeitleiste unten dargestellt).

Die Insikt Group erkennt SOLARDEFLECTION-Infrastrukturen proaktiv durch ein tiefgreifendes Verständnis der von der Gruppe eingesetzten Infrastruktur-TTPs (weiter unten im Abschnitt „Infrastruktur-TTPs“). Darüber hinaus ermöglicht uns der Command and Control-Datensatz, alle SOLARDEFLECTION-IPs anzureichern und zu identifizieren, die wir als „positiv C2“ kategorisiert haben. Anschließend analysieren wir die Netzwerkkommunikation, um zu untersuchen, wie C2 mit infizierten Maschinen interagiert oder wie es vom Angreifer verwaltet wird. SOLARDEFLECTION C2s können im Command and Control-Datensatz der Recorded Future Platform überprüft werden.

Anmerkung der Redaktion: Der folgende Beitrag ist ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse zu lesen, Klicken Sie hier um den Bericht als PDF herunterzuladen.