De hackers achter de SolarWinds aanval zijn nog niet verdwenen uit de systemen van de getroffen organisaties. Sinds januari dit jaar voert de groep een agressieve phishing campagne, welke ze afgelopen week flink opschroefden. Zo werden ongeveer 3000 individuen binnen 150 organisaties in 24 landen getroffen.
Eind vorig jaar kwam aan het licht dat een groep hackers via een kwaadaardige SolarWinds-update toegang kreeg tot de systemen van tienduizenden bedrijven en organisaties. Onder meer het Amerikaanse ministerie van defensie is aangetast door de aanval. De nieuwe aanvallen laten zien dat de hackers nog altijd actief zijn en niet zomaar weggaan.
De SolarWinds-aanval werd toegeschreven op een Russische spionagegroep die het met name gemunt heeft op de VS. Het idee dat de groep, bekend onder de naam Nobelium, nog actief is, zorgde voor veel heisa. Het komt echter niet bepaald als een verrassing dat Rusland en met name de groep achter het SolarWinds-hack de systemen waar ze toegang tot hebben nog altijd in de gaten houden. De vergeldingsmaatregelen die de VS heeft opgelegd sinds april maken hier geen verandering in.
Verfijnde phishingcampagne
Voor de phishingcampagne die Nobelium sinds begin dit jaar voert, gebruikt de groep e-mailadressen uit de bulk e-maildienst Constant Contact. De groep heeft onder meer toegang tot adressen van het United States Agency for International Development.
Vervolgens sturen de hackers (voornamelijk leden van de Russische buitenlandse inlichtingendienst SVR) speciaal gemaakte spear-phishing e-mails die afkomstig zijn van e-mailaccounts binnen de organisatie als wie de hackers zich voordoen. In de e-mails staan legitieme links die doorverwijzen naar kwaadaardige Nobelium-infrastructuur die malware installeert om de apparaten over te nemen.
Met de phishing campagne richtten de hackers zich tot nu toe op 3000 verschillende personen. Dat aantal lijkt groot, maar volgens Microsoft hebben spamsystemen een groot deel van de e-mails tegengehouden. Sommige berichten zijn echter alsnog doorgekomen. Volgens Microsoft heeft Nobelium zijn strategie maandenlang verfijnd alvorens de aanval sinds vorige week flink op te schroeven.
Flinke stap terug na de SolarWinds-aanval
Zoals Microsoft het ziet, moesten de hackers hun tactiek veranderen nadat hun SolarWinds aanvallen werden ontdekt. Dat doen ze door middel van de phishing aanvallen die we de laatste maanden zien. De groep gebruikt systemen waar ze al toegang tot hebben om toegang te krijgen tot andere organisaties. Hierbij richten ze zich vooral op overheidsbedrijven, ngo’s, denktanks, onderzoeksgroepen en IT-diensten.
In de nasleep van de SolarWinds-aanvallen, krijgen de recente phishing-campagnes veel aandacht. Een degelijke aanval op zichzelf zou een stuk minder impact hebben. Vergeleken met de schaal van de SolarWinds-inbraak lijkt de phishing-campagne een grote stap terug.
Naast de phishing-aanvallen blijft de SolarWinds-aanval zelf ook nog altijd de nodige impact maken. Waarschijnlijk is Nobelium nog altijd aanwezig in een deel van de systemen waar ze destijds hebben ingebroken. “De grote klap van de aanval is verminderd, maar ze blijven zeer waarschijnlijk nog wel rondhangen op een aantal plekken”, aldus FireEye, het eerste bedrijf dat de SolarWinds-aanval detecteerde.