Június 14-én azonosították azt a fenyegető szereplőt, aki kulcsszerepet játszott az ukrajnai orosz invázió felvezetésében. A „Cadet Blizzard” előrehaladott perzisztens fenyegetés (APT) tevékenysége tavaly januártól júniusig tetőzött, ami hozzájárult az út előkészítéséhez. katonai invázióhoz.
A Microsoft részletesen ismertette a tevékenységet egy blogbejegyzés. Az APT fellépései közül a legfigyelemreméltóbb az ukrán kormányzati weboldalak megrongálására irányuló kampány volt a „WhisperGate” néven ismert ablaktörlő amelyet arra terveztek, hogy a számítógépes rendszereket teljesen működésképtelenné tegye.
Ezek a támadások „megelőzték a Seashell Blizzard több támadási hullámát” – egy másik orosz csoport – „ezt követte, amikor az orosz hadsereg egy hónappal később megkezdte szárazföldi offenzíváját” – magyarázta a Microsoft.
A Microsoft összekapcsolta a Cadet Blizzardot az orosz katonai hírszerző ügynökséggel, a GRU-val.
Timothy Morris, a Tanium biztonsági főtanácsadója szerint az APT azonosítása egy lépés az orosz állam által támogatott kiberbűnözés elleni küzdelem felé, „mindig fontosabb azonban, hogy a viselkedésre és a taktikákra, technikákra és eljárásokra (TTP) összpontosítsunk, és ne csak arra, hogy ki támadja."
Cadet Blizzard viselkedése és TTP-k
A Cadet Blizzard általában az internetre néző webszerverek általánosan ismert sebezhetőségein keresztül jut hozzá a célpontokhoz, mint pl. Microsoft Exchange és a Atlassai összefolyás. A hálózat kompromittálása után oldalirányban mozog, begyűjti a hitelesítő adatokat és növeli a jogosultságokat, és webes shelleket használ a tartósság megteremtésére, mielőtt érzékeny szervezeti adatokat lopna el vagy irtó rosszindulatú programokat telepítene.
A csoport nem tesz diszkriminációt a végső céljai tekintetében, „megzavarásra, megsemmisítésre és információgyűjtésre törekszik, minden rendelkezésre álló eszközt felhasználva, és néha véletlenszerűen jár el” – magyarázta a Microsoft.
De ahelyett, hogy minden mesterség mestere lenne, Cadet inkább egyiknek sem a mestere. „Ami talán a legérdekesebb ebben a színészben – írta a Microsoft az APT-ről –, hogy viszonylag alacsony sikeraránya más, a GRU-hoz köthető szereplőkkel összehasonlítva, mint például a Seashell Blizzard [Iridium, Sandworm] és Forrest Blizzard (APT28, Fancy Bear, Sofacy, Strontium].”
Például ahhoz képest a Seashell Blizzardnak tulajdonított ablaktörlő támadásokA Cadet WhisperGate „nagyságrenddel kevesebb rendszert érintett, és viszonylag szerény hatást fejtett ki, annak ellenére, hogy kiképezték az ukrajnai ellenfelek hálózatainak megsemmisítésére” – magyarázta a Microsoft. „A Cadet Blizzard újabb kiberműveletei, bár időnként sikeresek voltak, hasonlóképpen nem érik el a GRU-s társaik által végrehajtott műveletek hatását.”
Mindezt figyelembe véve nem meglepő, hogy a hackerek „úgy tűnik, hogy alacsonyabb szintű működési biztonsággal működnek, mint a régóta fennálló és fejlett orosz csoportoké” – állapította meg a Microsoft.
Mire számíthat a Cadet Blizzard APT?
Bár az Ukrajnával kapcsolatos ügyekre összpontosítanak, a Cadet Blizzard műveletei nem különösebben koncentrálnak.
Az aláírástörlő telepítése és a kormányzati webhelyek megsértése mellett a csoport egy „Free Civilian” nevű feltörő fórumot is működtet. Ukrajnán kívül másutt is támadott célpontokat Európában, Közép-Ázsiában, sőt Latin-Amerikában is. A kormányzati szervek mellett gyakran célzott az IT-szolgáltatókra és a szoftver-ellátási lánc gyártóira, valamint a civil szervezetekre, a segélyszolgálatokra és a bűnüldözésre.
Ám bár bizonyos tekintetben zavaróbb működésük lehet, Sherrod DeGrippo, a Microsoft fenyegetés-felderítési stratégiájának igazgatója arra figyelmeztet, hogy a Cadet Blizzard még mindig félelmetes APT.
„Céljuk a pusztítás, ezért a szervezeteknek ugyanúgy aggódniuk kell értük, mint a többi szereplőért, és olyan proaktív intézkedéseket kell tenniük, mint a felhővédelem bekapcsolása, a hitelesítési tevékenység felülvizsgálata és többtényezős hitelesítés (MFA) engedélyezése hogy védekezzen ellenük – mondja.
A maga részéről Morris azt ajánlja a szervezeteknek, hogy „kezdjék az alapokkal: erős hitelesítés – MFA,
FIDO kulcsok, ahol szükséges – a legkisebb kiváltság elvének végrehajtása; folt, folt, folt; gondoskodjon arról, hogy biztonsági vezérlői és eszközei jelen legyenek és működjenek; és gyakran képezik a felhasználókat.”
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- EVM Finance. Egységes felület a decentralizált pénzügyekhez. Hozzáférés itt.
- Quantum Media Group. IR/PR erősített. Hozzáférés itt.
- PlatoAiStream. Web3 adatintelligencia. Felerősített tudás. Hozzáférés itt.
- Forrás: https://www.darkreading.com/threat-intelligence/russian-apt-cadet-blizzard-ukraine-wiper-attacks
- :van
- :is
- :nem
- :ahol
- 14
- 7
- a
- Rólunk
- teljesen
- hozzáférés
- Elérése
- ható
- cselekvések
- tevékenység
- szereplők
- fejlett
- tanácsadó
- Után
- ellen
- ügynökségek
- ügynökség
- Célzás
- Minden termék
- Is
- Bár
- mindig
- Amerika
- között
- an
- és a
- megjelenik
- APT
- VANNAK
- AS
- Ázsia
- At
- Támadó
- Támadások
- Hitelesítés
- elérhető
- Alapjai
- BE
- Viselik
- előtt
- kezdődött
- mögött
- hogy
- kívül
- Blog
- by
- hívott
- Kampány
- központú
- központi
- Közép-Ázsia
- bizonyos
- lánc
- fő
- felhő
- gyűjtemény
- általában
- viszonylag
- képest
- teljesen
- veszélyeztetése
- számítógép
- lefolytatott
- összefüggő
- figyelembe vett
- ellenőrzések
- Hitelesítő adatok
- cyber
- a számítógépes bűnözés
- dátum
- Fok
- szállított
- bevezetéséhez
- tervezett
- Ellenére
- elpusztítani
- részletes
- Igazgató
- Zavar
- nem
- Ennek
- máshol
- vészhelyzet
- végén
- végrehajtás
- biztosítására
- egyaránt
- létrehozni
- Európa
- Még
- példa
- vár
- magyarázható
- Sikertelen
- Divat
- kevesebb
- harcoló
- Összpontosít
- összpontosított
- követ
- A
- Fórum
- talált
- Ingyenes
- gyakran
- ból ből
- Nyereség
- cél
- Célok
- Kormány
- Földi
- Csoport
- Csoportok
- hackerek
- Aratás
- Legyen
- segít
- övé
- azonban
- HTTPS
- azonosított
- Hatás
- végre
- fontos
- in
- információ
- kezdetben
- Intelligencia
- érdekes
- invázió
- IT
- IT szolgáltatás
- ITS
- csatlakozó
- január
- június
- Kulcs
- kulcsok
- ismert
- keresztnév
- Tavaly
- a későbbiekben
- latin
- latin Amerika
- Törvény
- bűnüldözési
- legkevésbé
- mint
- Elő/Utó
- alacsonyabb
- malware
- Gyártók
- mester
- számít
- Lehet..
- eszközök
- intézkedések
- MFA
- microsoft
- Katonai
- szerény
- Hónap
- több
- a legtöbb
- mozog
- többtényezős hitelesítés
- többszörös
- Szükség
- hálózat
- hálózatok
- Civil szervezetek
- nem
- figyelemre méltó
- of
- támadó
- gyakran
- on
- működik
- működik
- működés
- operatív
- Művelet
- ellenfelek
- or
- érdekében
- szervezeti
- szervezetek
- Más
- kívül
- rész
- különösen
- Tapasz
- egyengetni
- talán
- kitartás
- Plató
- Platón adatintelligencia
- PlatoData
- játszott
- be
- alapelv
- kiváltság
- kiváltságok
- proaktív
- eljárások
- védelme
- szolgáltatók
- Arány
- Inkább
- új
- ajánlja
- összefüggő
- viszonylag
- felülvizsgálata
- Szerep
- Oroszország
- orosz
- s
- azt mondja,
- biztonság
- érzékeny
- Szerverek
- szolgáltatás
- szolgáltatók
- Szolgáltatások
- ő
- Hasonlóképpen
- So
- szoftver
- Kizárólag
- kezdet
- Lépés
- Még mindig
- Stratégia
- erős
- siker
- sikeres
- kínálat
- ellátási lánc
- meglepetés
- Systems
- taktika
- Vesz
- célzott
- célok
- technikák
- mint
- hogy
- A
- Az alapok
- azok
- Őket
- ők
- ezt
- azok
- fenyegetés
- Keresztül
- nak nek
- szerszámok
- felé
- szakmák
- Vonat
- kiképzett
- Turning
- Ukrajna
- ukrán
- upon
- Felhasználók
- segítségével
- sérülékenységek
- figyelmeztet
- volt
- hullámok
- Út..
- módon
- háló
- honlapok
- JÓL
- voltak
- Mit
- bármi
- amikor
- míg
- WHO
- val vel
- dolgozó
- aggódik
- lenne
- év
- A te
- zephyrnet