L'APT russe "Cadet Blizzard" derrière les attaques d'essuie-glace en Ukraine

Un acteur menaçant qui a joué un rôle clé dans les préparatifs de l’invasion russe de l’Ukraine a été identifié le 14 juin. L’activité de la menace persistante avancée (APT) « Cadet Blizzard » a culminé de janvier à juin de l’année dernière, contribuant ainsi à ouvrir la voie. pour une invasion militaire.

Microsoft a détaillé l'activité dans un blog. Parmi les actions les plus notables de l'APT, citons une campagne visant à dégrader les sites Web du gouvernement ukrainien, et un essuie-glace connu sous le nom de « WhisperGate » qui visait à rendre les systèmes informatiques complètement inutilisables.

Ces attaques « ont précédé plusieurs vagues d’attaques de Seashell Blizzard » – un autre groupe russe – « cela a suivi lorsque l’armée russe a commencé son offensive terrestre un mois plus tard », a expliqué Microsoft.

Microsoft a connecté Cadet Blizzard à l'agence de renseignement militaire russe, le GRU.

L'identification de l'APT est une étape dans la lutte contre la cybercriminalité parrainée par l'État russe, déclare Timothy Morris, conseiller en chef en matière de sécurité chez Tanium, "cependant, il est toujours plus important de se concentrer sur les comportements, les tactiques, les techniques et les procédures (TTP) et pas uniquement". sur qui attaque.

Comportements et TTP des cadets Blizzard

En général, Cadet Blizzard obtient un accès initial aux cibles grâce à des vulnérabilités communément connues dans les serveurs Web connectés à Internet, comme Microsoft Exchange ainsi que Confluence Atlassienne. Après avoir compromis un réseau, il se déplace latéralement, récoltant des informations d'identification et augmentant les privilèges, et utilisant des shells Web pour établir la persistance avant de voler des données organisationnelles sensibles ou de déployer des logiciels malveillants extirpateurs.

Le groupe ne fait aucune discrimination dans ses objectifs finaux, visant « la perturbation, la destruction et la collecte d'informations, en utilisant tous les moyens disponibles et en agissant parfois de manière aléatoire », a expliqué Microsoft.

Mais plutôt que d’être un touche-à-tout, Cadet est plutôt un maître de rien. « Ce qui est peut-être le plus intéressant chez cet acteur », a écrit Microsoft à propos de l'APT, « c'est son taux de réussite relativement faible par rapport à d'autres acteurs affiliés au GRU comme Seashell Blizzard [Iridium, Sandworm] et Forrest Blizzard (APT28, Ours fantaisie, Sofacy, Strontium] « .

Par exemple, par rapport à attaques d'essuie-glace attribuées à Seashell Blizzard, WhisperGate de Cadet « a affecté un ordre de grandeur moins de systèmes et a eu un impact relativement modeste, bien qu'il ait été formé pour détruire les réseaux de ses adversaires en Ukraine », a expliqué Microsoft. « Les cyberopérations les plus récentes de Cadet Blizzard, bien que parfois réussies, n’ont pas non plus réussi à avoir l’impact de celles menées par ses homologues du GRU. »

Tout cela considéré, il n'est pas surprenant que les pirates informatiques « semblent également opérer avec un degré de sécurité opérationnelle inférieur à celui des groupes russes de longue date et avancés », a constaté Microsoft.

À quoi s'attendre de l'APT Cadet Blizzard

Bien que centrées sur des questions liées à l'Ukraine, les opérations de Cadet Blizzard ne sont pas particulièrement ciblées.

En plus de déployer son effaceur de signature et de dégrader les sites Web gouvernementaux, le groupe gère également un forum de piratage et de fuite appelé « Free Civilian ». En dehors de l’Ukraine, elle a attaqué des cibles ailleurs en Europe, en Asie centrale et même en Amérique latine. Et outre les agences gouvernementales, elle ciblait souvent les prestataires de services informatiques et les fabricants de chaînes d’approvisionnement de logiciels, ainsi que les ONG, les services d’urgence et les forces de l’ordre.

Mais même si leurs opérations peuvent être plus compliquées à certains égards, Sherrod DeGrippo, directeur de la stratégie de renseignement sur les menaces chez Microsoft, prévient que Cadet Blizzard reste une APT redoutable.

« Leur objectif est la destruction, les organisations doivent donc absolument s'en soucier autant que d'autres acteurs, et prendre des mesures proactives comme activer les protections cloud, revoir l'activité d'authentification et activation de l'authentification multifacteur (MFA) pour se protéger contre eux », dit-elle.

Pour sa part, Morris recommande aux organisations de « commencer par l’essentiel : l’authentification forte – MFA,

Clés FIDO si nécessaire — mettre en œuvre le principe du moindre privilège ; pièce, pièce, pièce ; assurez-vous que vos contrôles et outils de sécurité sont présents et fonctionnent ; et former fréquemment les utilisateurs.

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• Financement EVM. Interface unifiée pour la finance décentralisée. Accéder ici.
• Groupe de médias quantiques. IR/PR amplifié. Accéder ici.
• PlatoAiStream. Intelligence des données Web3. Connaissance Amplifiée. Accéder ici.
• La source: https://www.darkreading.com/threat-intelligence/russian-apt-cadet-blizzard-ukraine-wiper-attacks