Nobelium是一個(gè)臭名昭著的黑客集團(tuán)，一年前，史上最嚴(yán)重的數(shù)據(jù)泄露事件，便是他們的“杰作。”

?[[439237]]?

2020年底，據(jù)路透社和《華盛頓郵報(bào)》報(bào)道， 該黑客集團(tuán)攻擊 了SolarWinds旗下的Orion網(wǎng)絡(luò)監(jiān)控軟件更新服務(wù)器，并植入惡意代碼，導(dǎo)致美國財(cái)政部、商務(wù)部等多個(gè)政府機(jī)構(gòu)用戶，受到長期入侵和監(jiān)視。

Nobelium之所以有如此強(qiáng)的破壞力，主要跟其入侵方式有關(guān)。一般黑客組織會(huì)找到入侵目標(biāo)，一個(gè)一個(gè)攻擊它們，而Nobelium不同，他們會(huì)選擇攻擊云服務(wù)提供商，并入侵其所有的企業(yè)客戶。

這就好比入室盜竊，一般小偷需要挨家挨戶溜門撬鎖，而Nobelium不一樣，它會(huì)找到生產(chǎn)門鎖的公司，竊取他們制造鎖的資料，便可以輕而易舉的進(jìn)入所有人的房間。

根據(jù)知名網(wǎng)絡(luò)安全公司Mandiant報(bào)告顯示，Nobelium的入侵策略一直沒有改變，自去年以來，與SolarWinds黑客事件有關(guān)的兩個(gè)黑客組織：UNC3004和UNC2652，一直在不斷設(shè)計(jì)新方法，以攻擊大量的目標(biāo)。

先進(jìn)的攻擊方式

根據(jù)Mandiant的說法，Nobelium黑客集團(tuán)的攻擊方式極具策略性和獨(dú)創(chuàng)性，包括：

1. 善于利用工具

Nobelium不會(huì)自己單打獨(dú)斗，而是善于利用現(xiàn)有的惡意軟件或者黑客工具。在這些黑客幫助下，Nobelium甚至不需要入侵云服務(wù)提供商的情況下，也能入侵目標(biāo)。

2. 破壞系統(tǒng)權(quán)限

一旦Nobelium成功入侵網(wǎng)絡(luò)，馬上會(huì)破壞企業(yè)垃圾郵件過濾器，或者具有控制權(quán)限的功能。這樣一來，黑客便可以從受感染網(wǎng)絡(luò)中的任意一個(gè)賬號，訪問企業(yè)電子郵箱或者其他類型的數(shù)據(jù)，而不需要破解每一個(gè)賬號。

3. 善于偽裝

當(dāng)被攻擊的公司的管理員查看訪問日志時(shí)，他們會(huì)發(fā)現(xiàn)這些連接都來自權(quán)威的本地ISP或者與公司位于同一地域的云服務(wù)提供商，Nobelium便可以掩蓋入侵行為。

4. 繞過安全限制

例如提取虛擬機(jī)，以確定他們想要入侵網(wǎng)絡(luò)的內(nèi)部路由器配置。

5. 巧用訪問權(quán)限

Nobelium還會(huì)獲得受害目標(biāo)存儲(chǔ)在云服務(wù)提供商中的活動(dòng)目錄的訪問權(quán)限，并使用強(qiáng)大的工具竊取加密密鑰，這些加密密鑰會(huì)生成令牌，從而繞過雙因素身份驗(yàn)證保護(hù)。

Nobelium黑客集團(tuán)的特點(diǎn)是入侵隱秘性很強(qiáng)，受害目標(biāo)在被入侵時(shí)，幾乎都沒有察覺，直到攻擊真正發(fā)生時(shí)，已經(jīng)為時(shí)已晚。攻擊發(fā)生后還很難找到任何蹤跡。不過，再狡猾的狐貍也有被逮的時(shí)候。當(dāng)黑客試圖使用二進(jìn)制文件，將文件上傳到Mega云存儲(chǔ)提供商時(shí)，由于重命名二進(jìn)制文件時(shí)發(fā)生了錯(cuò)誤無法執(zhí)行，這才被發(fā)現(xiàn)。

Nobelium黑客集團(tuán)發(fā)動(dòng)攻擊，還有許多與其他黑客組織不一樣的地方，例如一旦入侵成功，黑客就會(huì)通過訪問存儲(chǔ) LSASS 使用的加密機(jī)密的內(nèi)部存儲(chǔ)器來提升他們的權(quán)限等等。這個(gè)黑客集團(tuán)破壞力十分驚人，而且擅長發(fā)動(dòng)大規(guī)模攻擊。

??

近幾年，黑客攻擊逐漸專業(yè)化、集中化，給很多企業(yè)造成了巨大損失，越來越多的企業(yè)開始意識到網(wǎng)絡(luò)安全的重要性，投入越來越多的資金以對抗黑客攻擊。但是，因?yàn)榉烙叫枰娣烙拍茏嘈В舴絻H需攻其一點(diǎn)，攻防成本不對等，使黑客有機(jī)可乘。網(wǎng)絡(luò)安全，任重道遠(yuǎn)。