I cyber criminali del gruppo Nobelium, responsabili secondo Microsoft dell'attacco a Solar Winds, hanno perpetrato attacchi di password spraying e brute-force nel tentativo di impossessarsi delle credenziali dei clienti dell'azienda. Microsoft ha riportato sul blog ufficiale di avere rilevato attacchi contro "clienti specifici, principalmente aziende IT (57%), governative (20%) e non governative, nonché servizi finanziari" per lo più negli Stati Uniti (45%), ma anche nel Regno Unito (10%), Germania e Canada. In tutto, sono stati presi di mira 36 paesi.

Nel blog l'azienda di Redmond spiga che tutto è iniziato con un trojan installato sul computer di un addetto al supporto clienti Microsoft. È stato usato dai cyber criminali per ottenere l'accesso a informazioni di base sugli account di numero limitato di clienti.

Nobelium ha utilizzato queste informazioni per scatenare attacchi di phishing mirati contro i suddetti clienti Microsoft. Costoro sono stati prontamente individuati e allertati con un messaggio chiaro: "Un sofisticato gruppo APT che Microsoft identifica come Nobelium ha effettuato l'accesso agli strumenti di assistenza clienti Microsoft per esaminare le informazioni relative agli abbonamenti ai Servizi Microsoft" e le indicazioni per non cadere in trappola.
Gli attacchi di password spraying e brute force hanno la stessa finalità: entrambi tentano di ottenere illegalmente l'accesso agli account altrui indovinandone la password. Con il password sprying l'attacco tenta di utilizzare le stesse password su più account contemporaneamente. In un attacco brute force invece un singolo account viene bersagliato da ripetuti tentativi di password fino a trovare quella corretta.

La buona notizia è che i recenti attacchi di Nobelium sono stati per lo più infruttuosi. Tuttavia sono numerosi, il che non permette di dormire sonni tranquilli.

Chi è Nobelium

Nobelium è il nome che Microsoft ha assegnato al gruppo di cyber criminali che si ritiene sia sponsorizzato dallo stato Russo. È noto anche come APT29, Cozy Bear o The Dukes, e ha sulle spalle l'onta di essere responsabile dell'attacco alla supply chain di Solar Winds compromettendo aziende quali Microsoft, FireEye, Cisco, Malwarebytes, Mimecast e varie agenzie governative statunitensi.

L'attacco è stato orchestrato inserendo illegittimamente del codice nell'aggiornamento della piattaforma Solar Winds Orion che ha consentito ai cyber criminali di ottenere l'accesso remoto alle reti di migliaia di clienti. Poche settimane dopo la scoperta dell'attacco, il Governo degli Stati Uniti ha accusato formalmente il Servizio di intelligence russo SVR.