APT الروسية "Cadet Blizzard" وراء هجمات المساحات في أوكرانيا

تم التعرف على جهة التهديد التي لعبت دورًا رئيسيًا في الفترة التي سبقت الغزو الروسي لأوكرانيا في 14 يونيو. وقد بلغ نشاط التهديد المستمر المتقدم (APT) من "Cadet Blizzard" ذروته في الفترة من يناير إلى يونيو من العام الماضي، مما ساعد على تمهيد الطريق. للغزو العسكري.

قامت Microsoft بتفصيل النشاط في لبلوق وظيفة. من أبرز الإجراءات التي اتخذتها APT كانت حملة لتشويه المواقع الإلكترونية الحكومية الأوكرانية، و ممسحة تعرف باسم "WhisperGate" تم تصميمه لجعل أنظمة الكمبيوتر غير صالحة للعمل تمامًا.

هذه الهجمات "سبقت موجات متعددة من هجمات Seashell Blizzard" - مجموعة روسية أخرى وأوضحت مايكروسوفت أن ذلك حدث بعد أن بدأ الجيش الروسي هجومه البري بعد شهر.

قامت Microsoft بربط Cadet Blizzard بوكالة الاستخبارات العسكرية الروسية GRU.

يقول تيموثي موريس، كبير مستشاري الأمن في تانيوم، إن تحديد التهديدات المستمرة المتقدمة هو خطوة نحو مكافحة الجرائم الإلكترونية التي ترعاها الدولة الروسية، "ومع ذلك، من المهم دائمًا التركيز على السلوكيات والتكتيكات والتقنيات والإجراءات (TTPs) وليس فقط على من يقوم بالهجوم”.

سلوكيات وتكتيكات كاديت بليزارد

بشكل عام، تكتسب Cadet Blizzard إمكانية الوصول الأولي إلى الأهداف من خلال نقاط الضعف المعروفة في خوادم الويب التي تواجه الإنترنت مثل مايكروسوفت تبادل و التقاء الأطلسي. بعد اختراق الشبكة، تتحرك أفقيًا، وتحصد بيانات الاعتماد وتزيد الامتيازات، وتستخدم أغطية الويب لتأسيس الثبات قبل سرقة البيانات التنظيمية الحساسة أو نشر برامج ضارة خارجية.

وأوضحت مايكروسوفت أن المجموعة لا تميز في أهدافها النهائية، حيث تهدف إلى "التعطيل والتدمير وجمع المعلومات باستخدام أي وسيلة متاحة، وتتصرف أحيانًا بطريقة عشوائية".

لكن بدلًا من أن يكون متقنًا لجميع المهن، فإن كاديت هو أشبه بسيد لا شيء. كتبت مايكروسوفت عن APT: "ربما يكون الأمر الأكثر إثارة للاهتمام بشأن هذا الممثل، هو معدل نجاحه المنخفض نسبيًا مقارنة بالجهات الفاعلة الأخرى التابعة لـ GRU مثل Seashell Blizzard [Iridium، Sandworm] و فورست بليزارد (APT28، فانسي بير، سوفاسي، سترونتيوم] ".

على سبيل المثال، بالمقارنة مع هجمات المسح المنسوبة إلى Seashell Blizzardأوضحت Microsoft أن برنامج WhisperGate الخاص بـ Cadet "أثر على عدد أقل من الأنظمة وقدم تأثيرًا متواضعًا نسبيًا، على الرغم من تدريبه على تدمير شبكات خصومهم في أوكرانيا". "إن عمليات Cadet Blizzard الإلكترونية الأحدث، على الرغم من نجاحها في بعض الأحيان، فشلت بالمثل في تحقيق تأثير تلك التي أجرتها نظيراتها من GRU."

ومع أخذ كل هذا في الاعتبار، فليس من المستغرب أن المتسللين أيضًا "يبدو أنهم يعملون بدرجة أقل من الأمان التشغيلي مقارنة بتلك التي تتمتع بها المجموعات الروسية القديمة والمتقدمة"، حسبما وجدت مايكروسوفت.

ما يمكن توقعه من Cadet Blizzard APT

على الرغم من أنها تركز على المسائل المتعلقة بأوكرانيا، إلا أن عمليات Cadet Blizzard لا تركز بشكل خاص.

إلى جانب نشر ماسحة التوقيع الخاصة بها وتشويه المواقع الحكومية، تدير المجموعة أيضًا منتدى للاختراق والتسريب يسمى "Free Civilian". وخارج أوكرانيا، هاجمت أهدافاً في أماكن أخرى في أوروبا، وآسيا الوسطى، وحتى في أمريكا اللاتينية. وإلى جانب الوكالات الحكومية، غالبًا ما استهدفت هذه الهجمات مقدمي خدمات تكنولوجيا المعلومات ومصنعي سلسلة توريد البرمجيات، فضلاً عن المنظمات غير الحكومية وخدمات الطوارئ وجهات إنفاذ القانون.

ولكن على الرغم من أن عملياتهم قد تكون أكثر فوضوية بطرق معينة، إلا أن شيرود ديجريبو، مدير استراتيجية استخبارات التهديدات في Microsoft، يحذر من أن Cadet Blizzard لا يزال يمثل تهديدًا مستمرًا مخيفًا.

"إن هدفهم هو التدمير، لذا يجب على المؤسسات أن تشعر بالقلق بشأنهم بنفس القدر، كما تفعل مع الجهات الفاعلة الأخرى، وأن تتخذ تدابير استباقية مثل تشغيل الحماية السحابية، ومراجعة نشاط المصادقة و تمكين المصادقة متعددة العوامل (MFA) وتقول: "للحماية منهم".

من جانبه، يوصي موريس بأن تبدأ المؤسسات "بالأساسيات: المصادقة القوية - MFA،

مفاتيح FIDO عند الضرورة — تنفيذ مبدأ الامتيازات الأقل؛ التصحيح، التصحيح، التصحيح؛ التأكد من وجود أدوات التحكم والأدوات الأمنية الخاصة بك وعملها؛ وتدريب المستخدمين بشكل متكرر.

• محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
• تمويل EVM. واجهة موحدة للتمويل اللامركزي. الوصول هنا.
• مجموعة كوانتوم ميديا. تضخيم IR / PR. الوصول هنا.
• أفلاطونايستريم. ذكاء بيانات Web3. تضخيم المعرفة. الوصول هنا.
• المصدر https://www.darkreading.com/threat-intelligence/russian-apt-cadet-blizzard-ukraine-wiper-attacks