Russisches APT „Cadet Blizzard“ hinter ukrainischen Wiper-Angriffen

Am 14. Juni wurde ein Bedrohungsakteur identifiziert, der im Vorfeld der russischen Invasion in der Ukraine eine Schlüsselrolle spielte. Die Aktivität der Advanced Persistent Threat (APT) „Cadet Blizzard“ erreichte von Januar bis Juni letzten Jahres ihren Höhepunkt und ebnete den Weg für eine militärische Invasion.

Microsoft hat die Aktivität detailliert beschrieben a blog post. Zu den bemerkenswertesten Aktionen der APT gehörte eine Kampagne zur Verunstaltung von Websites der ukrainischen Regierung ein Scheibenwischer namens „WhisperGate“ das darauf abzielte, Computersysteme völlig funktionsuntüchtig zu machen.

Diese Angriffe gingen „mehreren Angriffswellen von Seashell Blizzard voraus“ – eine andere russische Gruppe – „Das folgte, als das russische Militär einen Monat später seine Bodenoffensive begann“, erklärte Microsoft.

Microsoft hat Cadet Blizzard mit dem russischen Militärgeheimdienst GRU in Verbindung gebracht.

Die Identifizierung des APT sei ein Schritt zur Bekämpfung der staatlich geförderten Cyberkriminalität in Russland, sagt Timothy Morris, Chef-Sicherheitsberater bei Tanium. „Es ist jedoch immer wichtiger, sich auf die Verhaltensweisen und Taktiken, Techniken und Verfahren (TTPs) zu konzentrieren und nicht nur.“ darauf, wer angreift.“

Verhalten und TTPs von Cadet Blizzard

Im Allgemeinen erhält Cadet Blizzard zunächst Zugriff auf Ziele durch allgemein bekannte Schwachstellen in mit dem Internet verbundenen Webservern wie z Microsoft Exchange und Atlassian Confluence. Nachdem ein Netzwerk kompromittiert wurde, bewegt es sich seitwärts, sammelt Anmeldeinformationen, erweitert Berechtigungen und nutzt Web-Shells, um eine Persistenz herzustellen, bevor es vertrauliche Unternehmensdaten stiehlt oder extirpative Malware einsetzt.

Die Gruppe diskriminiert bei ihren Endzielen nicht und strebt nach „Störung, Zerstörung und Informationssammlung, wobei sie alle verfügbaren Mittel nutzt und manchmal willkürlich vorgeht“, erklärte Microsoft.

Aber anstatt ein Alleskönner zu sein, ist Cadet eher ein Meister des Nichts. „Was an diesem Akteur vielleicht am interessantesten ist“, schrieb Microsoft über die APT, „ist seine relativ niedrige Erfolgsquote im Vergleich zu anderen GRU-nahen Akteuren wie Seashell Blizzard [Iridium, Sandworm] und.“ Forrest Blizzard (APT28, Fancy Bear, Sofacy, Strontium]. "

Zum Beispiel im Vergleich zu Wischerangriffe, die Seashell Blizzard zugeschrieben werden, Cadets WhisperGate „beeinträchtigte eine Größenordnung weniger Systeme und lieferte vergleichsweise bescheidene Auswirkungen, obwohl es darauf trainiert wurde, die Netzwerke seiner Gegner in der Ukraine zu zerstören“, erklärte Microsoft. „Die neueren Cyber-Operationen von Cadet Blizzard waren zwar gelegentlich erfolgreich, erzielten jedoch ebenfalls nicht die gleiche Wirkung wie die von ihren GRU-Kollegen durchgeführten.“

Vor diesem Hintergrund ist es keine Überraschung, dass die Hacker offenbar auch „mit einem geringeren Maß an Betriebssicherheit agieren als langjährige und fortgeschrittene russische Gruppen“, stellte Microsoft fest.

Was Sie vom Cadet Blizzard APT erwarten können

Obwohl sich die Operationen von Cadet Blizzard auf Angelegenheiten im Zusammenhang mit der Ukraine konzentrieren, sind sie nicht besonders fokussiert.

Neben dem Einsatz ihres Signaturwischers und der Verunstaltung von Regierungswebsites betreibt die Gruppe auch ein Hack-and-Leak-Forum namens „Free Civilian“. Außerhalb der Ukraine hat es Ziele in anderen Teilen Europas, Zentralasiens und sogar Lateinamerikas angegriffen. Neben Regierungsbehörden waren es häufig auch IT-Dienstleister und Hersteller von Software-Lieferketten sowie Nichtregierungsorganisationen, Rettungsdienste und Strafverfolgungsbehörden.

Auch wenn der Betrieb in mancher Hinsicht chaotischer sein mag, warnt Sherrod DeGrippo, Director of Threat Intelligence Strategy bei Microsoft, dass Cadet Blizzard immer noch ein furchterregender APT ist.

„Ihr Ziel ist die Zerstörung, daher müssen sich Unternehmen genauso viele Sorgen um sie machen wie um andere Akteure, und proaktive Maßnahmen ergreifen, wie etwa das Einschalten von Cloud-Schutzmaßnahmen, die Überprüfung der Authentifizierungsaktivitäten usw Aktivieren der Multifaktor-Authentifizierung (MFA) um sich vor ihnen zu schützen“, sagt sie.

Morris seinerseits empfiehlt Unternehmen, „mit den Grundlagen zu beginnen: starke Authentifizierung – MFA,

FIDO-Schlüssel, wo nötig — den Grundsatz der geringsten Privilegien umsetzen; Flicken, Flicken, Flicken; Stellen Sie sicher, dass Ihre Sicherheitskontrollen und -tools vorhanden sind und funktionieren. und Benutzer regelmäßig schulen.“

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• EVM-Finanzen. Einheitliche Schnittstelle für dezentrale Finanzen. Hier zugreifen.
• Quantum Media Group. IR/PR verstärkt. Hier zugreifen.
• PlatoAiStream. Web3-Datenintelligenz. Wissen verstärkt. Hier zugreifen.
• Quelle: https://www.darkreading.com/threat-intelligence/russian-apt-cadet-blizzard-ukraine-wiper-attacks