"کولاک کادت" روسی APT پشت حملات برف پاک کن اوکراین

"کولاک کادت" روسی APT پشت حملات برف پاک کن اوکراین

تمبر زمان: 14 ژوئن 2023، 6:18 بعد از ظهر
APT روسی 'Cadet Blizzard' پشت اوکراین برف پاک کن به اطلاعات پلاتو بلاک چین حمله می کند. جستجوی عمودی Ai.

یک عامل تهدید که نقش کلیدی در پیشبرد تهاجم روسیه به اوکراین ایفا کرد در 14 ژوئن شناسایی شد. فعالیت تهدید مداوم پیشرفته "Cadet Blizzard" (APT) از ژانویه تا ژوئن سال گذشته به اوج خود رسید و به هموار کردن راه کمک کرد. برای تهاجم نظامی

مایکروسافت جزئیات فعالیت در یک پست وبلاگ. قابل توجه ترین در میان اقدامات APT، کمپینی برای تخریب وب سایت های دولتی اوکراین بود برف پاک کن معروف به "WhisperGate" که به گونه ای طراحی شده بود که سیستم های کامپیوتری را کاملاً غیر قابل اجرا کند.

این حملات "پیش از موج های متعدد حملات توسط Seashell Blizzard" - یک گروه روسی دیگر مایکروسافت توضیح داد: "این اتفاق زمانی رخ داد که ارتش روسیه یک ماه بعد حمله زمینی خود را آغاز کرد."

مایکروسافت کادت بلیزارد را با آژانس اطلاعات نظامی روسیه، GRU، مرتبط کرد.

تیموتی موریس، مشاور ارشد امنیتی در Tanium می‌گوید شناسایی APT گامی به سوی مبارزه با جرایم سایبری تحت حمایت دولت روسیه است، «با این حال، تمرکز بر رفتارها و تاکتیک‌ها، تکنیک‌ها و رویه‌ها (TTP) و نه صرفاً مهم‌تر است. چه کسی این حمله را انجام می دهد.»

رفتارها و TTP های کادت بلیزارد

به طور کلی، Cadet Blizzard دسترسی اولیه به اهداف را از طریق آسیب پذیری های رایج در وب سرورهای اینترنتی مانند مایکروسافت اکسچنج و تلاقی آتلاسیان. پس از به خطر انداختن یک شبکه، به صورت جانبی حرکت می‌کند، اعتبارنامه‌ها را جمع‌آوری می‌کند و امتیازات را افزایش می‌دهد، و از پوسته‌های وب برای ایجاد پایداری قبل از سرقت داده‌های حساس سازمانی یا استقرار بدافزارهای مخرب استفاده می‌کند.

مایکروسافت توضیح داد که این گروه در اهداف نهایی خود تبعیض قائل نمی شود و هدف آن "اختلال، تخریب، و جمع آوری اطلاعات، با استفاده از هر وسیله ای که در دسترس است و گاهی اوقات به صورت تصادفی عمل می کند."

اما کادت به جای اینکه یک جک از همه مشاغل باشد، بیشتر شبیه استاد هیچکدام است. مایکروسافت درباره APT نوشت: «شاید جالب‌ترین چیز در مورد این بازیگر، میزان موفقیت نسبتا پایین آن در مقایسه با سایر بازیگران وابسته به GRU مانند Seashell Blizzard [Iridium، Sandworm] و Forrest Blizzard (APT28، Fancy Bear، Sofacy، Strontium] "

به عنوان مثال، در مقایسه با حملات برف پاک کن منتسب به Seashell Blizzardمایکروسافت توضیح داد که Cadet's WhisperGate «بر سیستم‌های بسیار کمتری تأثیر گذاشت و تأثیر نسبتاً متوسطی داشت، علی‌رغم اینکه برای نابود کردن شبکه‌های مخالفان خود در اوکراین آموزش دیده بود». «عملیات سایبری جدیدتر Cadet Blizzard، اگرچه گاهی اوقات موفقیت آمیز بود، به طور مشابه نتوانست به تأثیر اقدامات انجام شده توسط همتایان GRU خود برسد.»

مایکروسافت دریافت که با در نظر گرفتن همه این موارد، جای تعجب نیست که هکرها همچنین «به نظر می‌رسد با امنیت عملیاتی پایین‌تری نسبت به گروه‌های قدیمی و پیشرفته روسی عمل می‌کنند».

از Cadet Blizzard APT چه انتظاری باید داشت

اگرچه بر روی مسائل مربوط به اوکراین متمرکز است، عملیات Cadet Blizzard به طور خاص متمرکز نیست.

این گروه علاوه بر استقرار برف پاک کن امضای خود و مخدوش کردن وب سایت های دولتی، یک انجمن هک و نشت به نام "غیر نظامی رایگان" را نیز اداره می کند. خارج از اوکراین، به اهدافی در سایر نقاط اروپا، آسیای مرکزی و حتی آمریکای لاتین حمله کرده است. و علاوه بر سازمان‌های دولتی، اغلب ارائه‌دهندگان خدمات فناوری اطلاعات و تولیدکنندگان زنجیره تامین نرم‌افزار و همچنین سازمان‌های غیردولتی، خدمات اضطراری و مجریان قانون را هدف قرار می‌دهد.

اما در حالی که ممکن است آنها از طرق خاصی عملیات نامطلوب تری داشته باشند، شرود دگریپو، مدیر استراتژی اطلاعات تهدید در مایکروسافت، هشدار می دهد که Cadet Blizzard هنوز یک APT ترسناک است.

"هدف آنها تخریب است، بنابراین سازمان ها باید به همان اندازه مانند سایر بازیگران نگران آنها باشند و اقدامات پیشگیرانه ای مانند روشن کردن محافظت های ابری، بررسی فعالیت های احراز هویت و فعال کردن احراز هویت چند عاملی (MFA) برای محافظت در برابر آنها، "او می گوید.

موریس به نوبه خود توصیه می کند که سازمان ها "با اصول اولیه شروع کنند: احراز هویت قوی - MFA،

کلیدهای FIDO در صورت لزوم - اجرای اصل کمترین امتیاز؛ پچ، پچ، پچ; اطمینان حاصل کنید که کنترل‌ها و ابزارهای امنیتی شما وجود دارند و کار می‌کنند. و کاربران را مرتباً آموزش دهید.»

تمبر زمان:

بیشتر از تاریک خواندن