Το ρωσικό APT «Cadet Blizzard» πίσω από τις επιθέσεις υαλοκαθαριστήρων στην Ουκρανία

Ένας παράγοντας απειλής που διαδραμάτισε καθοριστικό ρόλο στην καθοδήγηση της ρωσικής εισβολής στην Ουκρανία εντοπίστηκε στις 14 Ιουνίου. Η δραστηριότητα από την προηγμένη επίμονη απειλή "Cadet Blizzard" (APT) κορυφώθηκε από τον Ιανουάριο έως τον Ιούνιο του περασμένου έτους, βοηθώντας να ανοίξει ο δρόμος για στρατιωτική εισβολή.

Η Microsoft παρουσίασε λεπτομερώς τη δραστηριότητα ένα blog post. Οι πιο αξιοσημείωτες μεταξύ των ενεργειών της APT ήταν μια εκστρατεία για την παραβίαση ιστοσελίδων της ουκρανικής κυβέρνησης και ένας υαλοκαθαριστήρας γνωστός ως "WhisperGate" που σχεδιάστηκε για να καταστήσει τα συστήματα υπολογιστών εντελώς ανενεργά.

Αυτές οι επιθέσεις «προλόγισαν πολλαπλά κύματα επιθέσεων από τη Seashell Blizzard» — μια άλλη ρωσική ομάδα — «Αυτό ακολούθησε όταν ο ρωσικός στρατός ξεκίνησε την χερσαία επίθεση έναν μήνα αργότερα», εξήγησε η Microsoft.

Η Microsoft συνέδεσε την Cadet Blizzard με τη στρατιωτική υπηρεσία πληροφοριών της Ρωσίας, την GRU.

Ο εντοπισμός του APT είναι ένα βήμα προς την καταπολέμηση του ρωσικού κρατικού εγκλήματος στον κυβερνοχώρο, λέει ο Timothy Morris, επικεφαλής σύμβουλος ασφαλείας στο Tanium, «ωστόσο, είναι πάντα πιο σημαντικό να εστιάσουμε στις συμπεριφορές και τις τακτικές, τις τεχνικές και τις διαδικασίες (TTP) και όχι αποκλειστικά για το ποιος κάνει την επίθεση».

Cadet Blizzard's Behaviors & TTPs

Γενικά, η Cadet Blizzard αποκτά αρχική πρόσβαση σε στόχους μέσω κοινώς γνωστών τρωτών σημείων σε διακομιστές Ιστού που αντιμετωπίζουν το Διαδίκτυο όπως Microsoft Exchange και Ατλανσιακή συμβολή. Αφού διακυβεύσει ένα δίκτυο, κινείται πλευρικά, συλλέγοντας διαπιστευτήρια και κλιμακώνοντας προνόμια και χρησιμοποιώντας κελύφη Ιστού για να εδραιώσει την επιμονή πριν κλέψει ευαίσθητα οργανωτικά δεδομένα ή αναπτύξει εκτοπιστικό κακόβουλο λογισμικό.

Η ομάδα δεν κάνει διακρίσεις στους τελικούς της στόχους, στοχεύοντας σε «διακοπή, καταστροφή και συλλογή πληροφοριών, χρησιμοποιώντας όποια μέσα είναι διαθέσιμα και μερικές φορές ενεργώντας με τυχαίο τρόπο», εξήγησε η Microsoft.

Αλλά αντί να είναι ένας γρύλος όλων των επαγγελμάτων, ο Cadet μοιάζει περισσότερο με τον κύριο του κανενός. «Αυτό που είναι ίσως πιο ενδιαφέρον για αυτόν τον ηθοποιό», έγραψε η Microsoft για το APT, «είναι το σχετικά χαμηλό ποσοστό επιτυχίας του σε σύγκριση με άλλους ηθοποιούς που συνδέονται με την GRU, όπως το Seashell Blizzard [Iridium, Sandworm] και Forrest Blizzard (APT28, Fancy Bear, Sofacy, Strontium]. "

Για παράδειγμα, σε σύγκριση με επιθέσεις υαλοκαθαριστήρων που αποδίδονται στο Seashell Blizzard, το Cadet's WhisperGate «επηρέασε μια τάξη μεγέθους λιγότερα συστήματα και είχε σχετικά μέτριο αντίκτυπο, παρά το γεγονός ότι είχε εκπαιδευτεί να καταστρέφει τα δίκτυα των αντιπάλων τους στην Ουκρανία», εξήγησε η Microsoft. «Οι πιο πρόσφατες κυβερνοεπιχειρήσεις Cadet Blizzard, αν και περιστασιακά επιτυχείς, παρομοίως απέτυχαν να επιτύχουν τον αντίκτυπο αυτών που πραγματοποιήθηκαν από τους ομολόγους της GRU».

Λαμβάνοντας υπόψη όλα αυτά, δεν αποτελεί έκπληξη το γεγονός ότι οι χάκερ «φαίνονται να λειτουργούν με χαμηλότερο βαθμό λειτουργικής ασφάλειας από αυτόν των μακροχρόνιων και προηγμένων ρωσικών ομάδων», διαπίστωσε η Microsoft.

Τι να περιμένετε από το Cadet Blizzard APT

Αν και επικεντρώνονται σε θέματα που σχετίζονται με την Ουκρανία, οι επιχειρήσεις Cadet Blizzard δεν είναι ιδιαίτερα εστιασμένες.

Εκτός από την ανάπτυξη του υαλοκαθαριστήρα υπογραφής και την παραβίαση των κυβερνητικών ιστοσελίδων, η ομάδα λειτουργεί επίσης ένα φόρουμ για παραβιάσεις και διαρροές που ονομάζεται "Free Civilian". Εκτός της Ουκρανίας, έχει επιτεθεί σε στόχους αλλού στην Ευρώπη, την Κεντρική Ασία, ακόμη και τη Λατινική Αμερική. Και εκτός από κυβερνητικές υπηρεσίες, συχνά στόχευε παρόχους υπηρεσιών πληροφορικής και κατασκευαστές εφοδιαστικής αλυσίδας λογισμικού, καθώς και ΜΚΟ, υπηρεσίες έκτακτης ανάγκης και επιβολής του νόμου.

Αλλά ενώ μπορεί να έχουν μια πιο ακατάστατη λειτουργία με συγκεκριμένους τρόπους, ο Sherrod DeGrippo, διευθυντής στρατηγικής πληροφοριών απειλών στη Microsoft, προειδοποιεί ότι η Cadet Blizzard εξακολουθεί να είναι ένα τρομερό APT.

«Ο στόχος τους είναι η καταστροφή, επομένως οι οργανισμοί πρέπει οπωσδήποτε να ανησυχούν εξίσου για αυτούς, όπως και άλλοι παράγοντες, και να λάβουν προληπτικά μέτρα όπως η ενεργοποίηση των προστασιών cloud, η αναθεώρηση της δραστηριότητας ελέγχου ταυτότητας και ενεργοποίηση ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) για να προστατευτείς από αυτούς», λέει.

Από την πλευρά του, ο Morris συνιστά στους οργανισμούς «να ξεκινήσουν με τα βασικά: ισχυρή πιστοποίηση — MFA,

Κλειδιά FIDO όπου χρειάζεται — εφαρμογή της αρχής των ελάχιστων προνομίων. patch, patch, patch? βεβαιωθείτε ότι υπάρχουν και λειτουργούν οι έλεγχοι και τα εργαλεία ασφαλείας σας. και να εκπαιδεύετε τους χρήστες συχνά».

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• EVM Finance. Ενιαία διεπαφή για αποκεντρωμένη χρηματοδότηση. Πρόσβαση εδώ.
• Quantum Media Group. Ενισχυμένο IR/PR. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Data Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/threat-intelligence/russian-apt-cadet-blizzard-ukraine-wiper-attacks