Il 14 giugno è stato identificato un attore della minaccia che ha svolto un ruolo chiave nel periodo precedente all’invasione russa dell’Ucraina. L’attività della minaccia avanzata persistente (APT) “Cadet Blizzard” ha raggiunto il picco da gennaio a giugno dello scorso anno, contribuendo a spianare la strada per l'invasione militare.
Microsoft ha dettagliato l'attività in un post sul blog. Tra le azioni dell'APT, la più notevole è stata una campagna per deturpare i siti web del governo ucraino un tergicristallo noto come “WhisperGate” progettato per rendere i sistemi informatici completamente inutilizzabili.
Questi attacchi “hanno preceduto molteplici ondate di attacchi da parte di Seashell Blizzard” — un altro gruppo russo – “ciò seguì quando l’esercito russo iniziò la sua offensiva di terra un mese dopo”, ha spiegato Microsoft.
Microsoft ha collegato Cadet Blizzard con l'agenzia di intelligence militare russa, il GRU.
Identificare l’APT è un passo verso la lotta alla criminalità informatica sponsorizzata dallo stato russo, afferma Timothy Morris, capo consigliere per la sicurezza di Tanium, “tuttavia, è sempre più importante concentrarsi sui comportamenti, sulle tattiche, sulle tecniche e sulle procedure (TTP) e non solo su chi sta attaccando.
Comportamenti e TTP di Cadet Blizzard
In generale, Cadet Blizzard ottiene l'accesso iniziale agli obiettivi attraverso vulnerabilità comunemente note nei server Web affacciati su Internet come Microsoft Exchange ed Confluenza atlante. Dopo aver compromesso una rete, si muove lateralmente, raccogliendo credenziali, aumentando i privilegi e utilizzando le shell Web per stabilire la persistenza prima di rubare dati aziendali sensibili o distribuire malware estirpato.
Il gruppo non fa discriminazioni nei suoi obiettivi finali, puntando a "interruzione, distruzione e raccolta di informazioni, utilizzando tutti i mezzi disponibili e talvolta agendo in modo casuale", ha spiegato Microsoft.
Ma piuttosto che essere un tuttofare, Cadet è più simile a un maestro di nessuno. "La cosa forse più interessante di questo attore", ha scritto Microsoft riguardo all'APT, "è il suo tasso di successo relativamente basso rispetto ad altri attori affiliati al GRU come Seashell Blizzard [Iridium, Sandworm] e Forrest Blizzard (APT28, Fancy Bear, Sofacy, Strontium].”
Ad esempio, rispetto a attacchi wiper attribuiti a Seashell Blizzard, il WhisperGate di Cadet "ha influenzato un numero di sistemi di un ordine di grandezza inferiore e ha prodotto un impatto relativamente modesto, nonostante fosse addestrato a distruggere le reti dei suoi avversari in Ucraina", ha spiegato Microsoft. "Le più recenti operazioni informatiche di Cadet Blizzard, sebbene occasionalmente riuscite, allo stesso modo non sono riuscite a raggiungere l'impatto di quelle condotte dalle sue controparti del GRU."
Tutto considerato, non sorprende che gli hacker "sembrano operare con un livello di sicurezza operativa inferiore rispetto a quello dei gruppi russi avanzati e di lunga data", ha scoperto Microsoft.
Cosa aspettarsi dall'APT Cadet Blizzard
Sebbene incentrate su questioni relative all'Ucraina, le operazioni di Cadet Blizzard non sono particolarmente mirate.
Oltre a utilizzare il suo sistema di cancellazione delle firme e a deturpare i siti web governativi, il gruppo gestisce anche un forum di hacking e leak chiamato “Free Civilian”. Al di fuori dell’Ucraina, ha attaccato obiettivi altrove in Europa, Asia centrale e persino in America Latina. E oltre alle agenzie governative, ha spesso preso di mira fornitori di servizi IT e produttori di catene di fornitura di software, nonché ONG, servizi di emergenza e forze dell’ordine.
Ma anche se per certi versi potrebbero avere un'operazione più complicata, Sherrod DeGrippo, direttore della strategia di intelligence sulle minacce presso Microsoft, avverte che Cadet Blizzard è ancora un temibile APT.
“Il loro obiettivo è la distruzione, quindi le organizzazioni devono assolutamente essere altrettanto preoccupate per loro, come farebbero per gli altri attori, e adottare misure proattive come l’attivazione delle protezioni cloud, la revisione dell’attività di autenticazione e abilitare l'autenticazione a più fattori (MFA) per proteggersi da loro”, dice.
Da parte sua, Morris raccomanda alle organizzazioni di “iniziare dalle basi: autenticazione forte – MFA,
Chiavi FIDO ove necessario — attuare il principio del privilegio minimo; toppa, toppa, toppa; garantire che i controlli e gli strumenti di sicurezza siano presenti e funzionanti; e formare frequentemente gli utenti."
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- EVM Finance. Interfaccia unificata per la finanza decentralizzata. Accedi qui.
- Quantum Media Group. IR/PR amplificato. Accedi qui.
- PlatoAiStream. Intelligenza dei dati Web3. Conoscenza amplificata. Accedi qui.
- Fonte: https://www.darkreading.com/threat-intelligence/russian-apt-cadet-blizzard-ukraine-wiper-attacks
- :ha
- :È
- :non
- :Dove
- 14
- 7
- a
- WRI
- assolutamente
- accesso
- Raggiungere
- recitazione
- azioni
- attività
- attori
- Avanzate
- consulente
- Dopo shavasana, sedersi in silenzio; saluti;
- contro
- agenzie
- agenzia
- Mirare
- Tutti
- anche
- Sebbene il
- sempre
- America
- tra
- an
- ed
- apparire
- APT
- SONO
- AS
- Asia
- At
- Attaccare
- attacchi
- Autenticazione
- disponibile
- Nozioni di base
- BE
- Orso
- prima
- ha iniziato
- dietro
- essendo
- oltre a
- Blog
- by
- detto
- Campagna
- centrato
- centrale
- Asia centrale
- certo
- catena
- capo
- Cloud
- collezione
- comunemente
- comparativamente
- rispetto
- completamente
- compromettendo
- computer
- condotto
- collegato
- considerato
- controlli
- Credenziali
- Cyber
- cybercrime
- dati
- Laurea
- consegnato
- distribuzione
- progettato
- Nonostante
- distruggere
- dettagliati
- Direttore
- Rottura
- doesn
- fare
- altrove
- emergenza
- fine
- applicazione
- garantire
- Allo stesso modo
- stabilire
- Europa
- Anche
- esempio
- attenderti
- ha spiegato
- fallito
- Moda
- meno
- lotta
- Focus
- concentrato
- seguito
- Nel
- Forum
- essere trovato
- Gratis
- frequentemente
- da
- Guadagni
- scopo
- Obiettivi
- Enti Pubblici
- Terra
- Gruppo
- Gruppo
- hacker
- Raccolta
- Avere
- aiutare
- il suo
- Tuttavia
- HTTPS
- identificato
- Impact
- realizzare
- importante
- in
- informazioni
- inizialmente
- Intelligence
- interessante
- invasione
- IT
- Servizio IT
- SUO
- martinetto
- Gennaio
- giugno
- Le
- Tasti
- conosciuto
- Cognome
- L'anno scorso
- dopo
- latino
- America latina
- Legge
- applicazione della legge
- meno
- piace
- Basso
- inferiore
- il malware
- Produttori
- Mastercard
- Matters
- Maggio..
- si intende
- analisi
- AMF
- Microsoft
- Militare
- modesto
- Mese
- Scopri di più
- maggior parte
- si muove
- autenticazione a più fattori
- multiplo
- Bisogno
- Rete
- reti
- ONG
- no
- notevole
- of
- offensivo
- di frequente
- on
- operare
- opera
- operazione
- operativa
- Operazioni
- gli avversari
- or
- minimo
- organizzativa
- organizzazioni
- Altro
- al di fuori
- parte
- particolarmente
- Toppa
- pavimentare
- Forse
- persistenza
- Platone
- Platone Data Intelligence
- PlatoneDati
- giocato
- presenti
- principio
- privilegio
- privilegi
- Proactive
- procedure
- protegge
- fornitori
- tasso
- piuttosto
- recente
- raccomanda
- relazionato
- relativamente
- revisione
- Ruolo
- Russia
- russo
- s
- dice
- problemi di
- delicata
- Server
- servizio
- fornitori di servizi
- Servizi
- lei
- Allo stesso modo
- So
- Software
- unicamente
- inizia a
- step
- Ancora
- Strategia
- forte
- il successo
- di successo
- fornire
- supply chain
- sorpresa
- SISTEMI DI TRATTAMENTO
- tattica
- Fai
- mirata
- obiettivi
- tecniche
- di
- che
- Il
- Le nozioni di base
- loro
- Li
- di
- questo
- quelli
- minaccia
- Attraverso
- a
- strumenti
- verso
- mestieri
- Treni
- allenato
- Svolta
- Ucraina
- ucraino
- su
- utenti
- utilizzando
- vulnerabilità
- avverte
- Prima
- onde
- Modo..
- modi
- sito web
- siti web
- WELL
- sono stati
- Che
- qualunque
- quando
- while
- OMS
- con
- lavoro
- preoccupato
- sarebbe
- anno
- Trasferimento da aeroporto a Sharm
- zefiro
