Хакери використовували різноманітний і постійно мінливий інструментарій, що включає довгий список інструментів і тактик, від шкідливих програм, розпилення паролів і крадіжки токенів до зловживань api і цільового фішингу. Основними цілями цих нових атак є реселери та постачальники технологічних послуг, які розгортають та управляють хмарними сервісами та аналогічними технологіями для своїх клієнтів.

Microsoft повідомила порушені цілі про атаки після їх виявлення, а також додала засоби виявлення до своїх продуктів захисту від загроз, дозволяючи майбутнім жертвам, виявляти спроби вторгнення.

” з травня ми повідомили більше 140 торгових посередників і постачальників технологічних послуг, що стали метою nobelium — – сказав том берт, корпоративний віце-президент microsoft. “ми продовжуємо розслідування, але на сьогоднішній день вважаємо, що 14 з цих торгових посередників і постачальників послуг були скомпрометовані». “ці атаки були частиною діяльності nobelium. Фактично, з 1 липня по 19 жовтня цього року ми поінформували 609 клієнтів про те, що вони піддавалися атакам з боку nobelium 22 868 разів, а самі атаки мали низький рівень успішності», — сказав берт. «для порівняння, до 1 липня 2021 року ми повідомляли клієнтів про атаки з боку всіх суб’єктів 20 500 разів за останні три роки».

Це показує, що nobelium все ще продовжує атаки, аналогічні тим, які вони здійснили при зломі систем solarwind.

Як вважає microsoft, nobelium – це хакерський підрозділ служби зовнішньої розвідки росії (сзр), також відомий як apt29, cozy bear і the dukes. У квітні 2021 року уряд сша офіційно звинуватив підрозділ сзр в координації “широкомасштабної кампанії кібершпіонажу solarwinds”, яка призвела до компрометації кількох урядових агентств сша. Наприкінці липня міністерство юстиції сша було останньою урядовою установою сша, яка повідомила про злом 27 офісів прокурорів сша під час глобальної хакерської атаки solarwinds.

Раніше microsoft детально розповіла про три різновиди шкідливих програм nobelium, що використовуються для підтримки стійкості в скомпрометованих мережах: бекдор управління і контролю – goldmax, засіб відстеження http – goldfinder, засіб збереження даних і засіб видалення шкідливих програм під назвою sibot. Два місяці по тому вони виявили ще чотири сімейства шкідливих програм, які nobelium використовував у своїх атаках: завантажувач шкідливих програм, відомий як boombox, завантажувач і програма запуску шелл-коду, відомий як vaporrage, шкідливе html-вкладення, що отримало назву envyscout, і завантажувач з ім’ям nativezone.