Orosz APT „Cadet Blizzard” Ukrajna ablaktörlő támadásai mögött

Június 14-én azonosították azt a fenyegető szereplőt, aki kulcsszerepet játszott az ukrajnai orosz invázió felvezetésében. A „Cadet Blizzard” előrehaladott perzisztens fenyegetés (APT) tevékenysége tavaly januártól júniusig tetőzött, ami hozzájárult az út előkészítéséhez. katonai invázióhoz.

A Microsoft részletesen ismertette a tevékenységet egy blogbejegyzés. Az APT fellépései közül a legfigyelemreméltóbb az ukrán kormányzati weboldalak megrongálására irányuló kampány volt a „WhisperGate” néven ismert ablaktörlő amelyet arra terveztek, hogy a számítógépes rendszereket teljesen működésképtelenné tegye.

Ezek a támadások „megelőzték a Seashell Blizzard több támadási hullámát” – egy másik orosz csoport – „ezt követte, amikor az orosz hadsereg egy hónappal később megkezdte szárazföldi offenzíváját” – magyarázta a Microsoft.

A Microsoft összekapcsolta a Cadet Blizzardot az orosz katonai hírszerző ügynökséggel, a GRU-val.

Timothy Morris, a Tanium biztonsági főtanácsadója szerint az APT azonosítása egy lépés az orosz állam által támogatott kiberbűnözés elleni küzdelem felé, „mindig fontosabb azonban, hogy a viselkedésre és a taktikákra, technikákra és eljárásokra (TTP) összpontosítsunk, és ne csak arra, hogy ki támadja."

Cadet Blizzard viselkedése és TTP-k

A Cadet Blizzard általában az internetre néző webszerverek általánosan ismert sebezhetőségein keresztül jut hozzá a célpontokhoz, mint pl. Microsoft Exchange és a Atlassai összefolyás. A hálózat kompromittálása után oldalirányban mozog, begyűjti a hitelesítő adatokat és növeli a jogosultságokat, és webes shelleket használ a tartósság megteremtésére, mielőtt érzékeny szervezeti adatokat lopna el vagy irtó rosszindulatú programokat telepítene.

A csoport nem tesz diszkriminációt a végső céljai tekintetében, „megzavarásra, megsemmisítésre és információgyűjtésre törekszik, minden rendelkezésre álló eszközt felhasználva, és néha véletlenszerűen jár el” – magyarázta a Microsoft.

De ahelyett, hogy minden mesterség mestere lenne, Cadet inkább egyiknek sem a mestere. „Ami talán a legérdekesebb ebben a színészben – írta a Microsoft az APT-ről –, hogy viszonylag alacsony sikeraránya más, a GRU-hoz köthető szereplőkkel összehasonlítva, mint például a Seashell Blizzard [Iridium, Sandworm] és Forrest Blizzard (APT28, Fancy Bear, Sofacy, Strontium].”

Például ahhoz képest a Seashell Blizzardnak tulajdonított ablaktörlő támadásokA Cadet WhisperGate „nagyságrenddel kevesebb rendszert érintett, és viszonylag szerény hatást fejtett ki, annak ellenére, hogy kiképezték az ukrajnai ellenfelek hálózatainak megsemmisítésére” – magyarázta a Microsoft. „A Cadet Blizzard újabb kiberműveletei, bár időnként sikeresek voltak, hasonlóképpen nem érik el a GRU-s társaik által végrehajtott műveletek hatását.”

Mindezt figyelembe véve nem meglepő, hogy a hackerek „úgy tűnik, hogy alacsonyabb szintű működési biztonsággal működnek, mint a régóta fennálló és fejlett orosz csoportoké” – állapította meg a Microsoft.

Mire számíthat a Cadet Blizzard APT?

Bár az Ukrajnával kapcsolatos ügyekre összpontosítanak, a Cadet Blizzard műveletei nem különösebben koncentrálnak.

Az aláírástörlő telepítése és a kormányzati webhelyek megsértése mellett a csoport egy „Free Civilian” nevű feltörő fórumot is működtet. Ukrajnán kívül másutt is támadott célpontokat Európában, Közép-Ázsiában, sőt Latin-Amerikában is. A kormányzati szervek mellett gyakran célzott az IT-szolgáltatókra és a szoftver-ellátási lánc gyártóira, valamint a civil szervezetekre, a segélyszolgálatokra és a bűnüldözésre.

Ám bár bizonyos tekintetben zavaróbb működésük lehet, Sherrod DeGrippo, a Microsoft fenyegetés-felderítési stratégiájának igazgatója arra figyelmeztet, hogy a Cadet Blizzard még mindig félelmetes APT.

„Céljuk a pusztítás, ezért a szervezeteknek ugyanúgy aggódniuk kell értük, mint a többi szereplőért, és olyan proaktív intézkedéseket kell tenniük, mint a felhővédelem bekapcsolása, a hitelesítési tevékenység felülvizsgálata és többtényezős hitelesítés (MFA) engedélyezése hogy védekezzen ellenük – mondja.

A maga részéről Morris azt ajánlja a szervezeteknek, hogy „kezdjék az alapokkal: erős hitelesítés – MFA,

FIDO kulcsok, ahol szükséges – a legkisebb kiváltság elvének végrehajtása; folt, folt, folt; gondoskodjon arról, hogy biztonsági vezérlői és eszközei jelen legyenek és működjenek; és gyakran képezik a felhasználókat.”

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• EVM Finance. Egységes felület a decentralizált pénzügyekhez. Hozzáférés itt.
• Quantum Media Group. IR/PR erősített. Hozzáférés itt.
• PlatoAiStream. Web3 adatintelligencia. Felerősített tudás. Hozzáférés itt.
• Forrás: https://www.darkreading.com/threat-intelligence/russian-apt-cadet-blizzard-ukraine-wiper-attacks