Microsoft ziet weer nieuwe activiteit SolarWinds-groep, ook in eigen gelederen

De waarschuwing komt voort uit het permanente onderzoek dat Microsoft doet naar de groep achter de SolarWinds-aanval. Microsoft noemt die groep steevast Nobelium, maar doorgaans wordt er vanuit gegaan dat dezelfde groep zit achter de namen CosyBear, CozyCar, CozyDuke, Fancy Bear, Dark Halo, The Dukes, OfficeMonkeys StellarParticle, UNC2452 en YTTRIUM. De Amerikaanse overheid gaat er vanuit dat deze groep wordt aangestuurd door de Russische inlichtingendienst.

De groep hanteert steeds geavanceerde methoden die doorgaans worden ingezet om via een derde toegang te krijgen tot de systemen van de doelwitten van de groep. Volgens Microsoft was de nu gemelde inbraak bij een medewerker geen onderdeel van een eerdere campagne van Nobelium. Het bedrijf heeft verder geen mededelingen gedaan over hoe het account van de betreffende medewerker kon worden overgenomen.

Wel meldt Microsoft in dezelfde blogpost dat de Nobelium-groep heeft geprobeerd met een 'brute force'-aanval op login-servers op andere accounts binnen te komen. Dat is op drie na niet gelukt. Ook bij deze drie kon de aanval snel worden geblokkeerd. Alle betrokken accounts - succesvol aangevallen of niet - zijn op de hoogte gebracht.