Op 14 juni werd een dreigingsactoren geïdentificeerd die een sleutelrol speelden in de aanloop naar de Russische invasie van Oekraïne. De activiteit van de ‘Cadet Blizzard’ geavanceerde persistente dreiging (APT) piekte van januari tot juni vorig jaar en hielp de weg vrij te maken voor militaire invasie.
Microsoft heeft de activiteit gedetailleerd beschreven in een blog post. Het meest opvallend onder de acties van de APT was een campagne om websites van de Oekraïense overheid te beschadigen een wisser die bekend staat als "WhisperGate" dat was ontworpen om computersystemen volledig onbruikbaar te maken.
Deze aanvallen “gingen vooraf aan meerdere golven van aanvallen door Seashell Blizzard” – een andere Russische groep – “dat volgde toen het Russische leger een maand later hun grondoffensief begon”, legde Microsoft uit.
Microsoft heeft Cadet Blizzard in verband gebracht met de Russische militaire inlichtingendienst, de GRU.
Het identificeren van de APT is een stap in de richting van de strijd tegen de door de Russische staat gesponsorde cybercriminaliteit, zegt Timothy Morris, hoofdveiligheidsadviseur bij Tanium, “het is echter altijd belangrijker om zich te concentreren op het gedrag en de tactieken, technieken en procedures (TTP’s) en niet alleen wie de aanval uitvoert.”
Gedrag en TTP's van Cadet Blizzard
Over het algemeen krijgt Cadet Blizzard initiële toegang tot doelen via algemeen bekende kwetsbaarheden in internetgerichte webservers zoals Microsoft Exchange en Atlassiaanse samenvloeiing. Nadat het een netwerk heeft gecompromitteerd, verplaatst het zich lateraal, verzamelt inloggegevens en escaleert rechten, en gebruikt webshells om persistentie tot stand te brengen voordat gevoelige organisatiegegevens worden gestolen of uitroeiende malware wordt ingezet.
De groep maakt geen onderscheid in haar einddoelen en streeft naar ‘verstoring, vernietiging en het verzamelen van informatie, met behulp van alle beschikbare middelen en soms op een lukrake manier’, legt Microsoft uit.
Maar in plaats van een manusje-van-alles te zijn, is Cadet meer een meester van niets. “Wat misschien wel het meest interessant is aan deze acteur,” schreef Microsoft over de APT, “is het relatief lage succespercentage vergeleken met andere aan de GRU gelieerde acteurs zoals Seashell Blizzard [Iridium, Sandworm] en Forrest Blizzard (APT28, Fancy Bear, Sofacy, Strontium].”
In vergelijking met bijvoorbeeld ruitenwisseraanvallen toegeschreven aan Seashell BlizzardCadet’s WhisperGate “trof een orde van grootte minder systemen en leverde een relatief bescheiden impact op, ondanks dat ze waren getraind om de netwerken van hun tegenstanders in Oekraïne te vernietigen”, legde Microsoft uit. “De meer recente cyberoperaties van Cadet Blizzard, hoewel soms succesvol, slaagden er op vergelijkbare wijze niet in om de impact te bereiken van die van zijn GRU-tegenhangers.”
Dit alles in aanmerking genomen is het geen verrassing dat de hackers ook “lijken te opereren met een lagere mate van operationele veiligheid dan die van al lang bestaande en geavanceerde Russische groepen”, ontdekte Microsoft.
Wat kun je verwachten van de Cadet Blizzard APT
Hoewel de activiteiten van Cadet Blizzard zich richten op zaken die verband houden met Oekraïne, zijn ze niet bijzonder gefocust.
Naast het inzetten van zijn kenmerkende ruitenwisser en het beschadigen van overheidswebsites, exploiteert de groep ook een hack-en-lek-forum genaamd ‘Free Civilian’. Buiten Oekraïne heeft het doelwitten elders in Europa, Centraal-Azië en zelfs Latijns-Amerika aangevallen. En naast overheidsinstanties richtte de aanval zich vaak ook op IT-dienstverleners en fabrikanten van de toeleveringsketen van software, maar ook op NGO's, hulpdiensten en wetshandhavers.
Maar hoewel ze in bepaalde opzichten misschien een rommeliger operatie hebben, waarschuwt Sherrod DeGrippo, directeur Threat Intelligence Strategy bij Microsoft, dat Cadet Blizzard nog steeds een angstaanjagende APT is.
“Hun doel is vernietiging, dus organisaties moeten zich absoluut net zo bezorgd over hen maken als andere actoren, en proactieve maatregelen nemen, zoals het inschakelen van cloudbeveiliging, het beoordelen van authenticatieactiviteiten en het multifactor-authenticatie (MFA) mogelijk maken om ertegen te beschermen”, zegt ze.
Van zijn kant beveelt Morris aan dat organisaties “beginnen met de basis: sterke authenticatie – MFA,
FIDO-sleutels waar nodig — het beginsel van de minste privileges implementeren; pleister, pleister, pleister; zorg ervoor dat uw beveiligingscontroles en -hulpmiddelen aanwezig zijn en werken; en train gebruikers regelmatig.”
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- EVM Financiën. Uniforme interface voor gedecentraliseerde financiën. Toegang hier.
- Quantum Media Groep. IR/PR versterkt. Toegang hier.
- PlatoAiStream. Web3 gegevensintelligentie. Kennis versterkt. Toegang hier.
- Bron: https://www.darkreading.com/threat-intelligence/russian-apt-cadet-blizzard-ukraine-wiper-attacks
- : heeft
- :is
- :niet
- :waar
- 14
- 7
- a
- Over
- absoluut
- toegang
- Bereiken
- waarnemend
- acties
- activiteit
- actoren
- vergevorderd
- adviseur
- Na
- tegen
- agentschappen
- agentschap
- het richten
- Alles
- ook
- Hoewel
- altijd
- Amerika
- onder
- an
- en
- verschijnen
- APT
- ZIJN
- AS
- Azië
- At
- Aanvallen
- Aanvallen
- authenticatie
- Beschikbaar
- De Basis
- BE
- Beer
- vaardigheden
- begon
- achter
- wezen
- behalve
- Blog
- by
- Dit betekent dat we onszelf en onze geliefden praktisch vergiftigen.
- Campagne
- gecentreerd
- centraal
- Centraal-Azië
- zeker
- keten
- chef
- Cloud
- Collectie
- algemeen
- vergelijkenderwijs
- vergeleken
- compleet
- afbreuk te doen aan
- computer
- uitgevoerd
- gekoppeld blijven
- beschouwd
- controles
- Geloofsbrieven
- cyber
- cybercrime
- gegevens
- Mate
- geleverd
- het inzetten
- ontworpen
- Niettegenstaande
- vernietigen
- gedetailleerd
- Director
- Ontwrichting
- doesn
- doen
- elders
- noodgeval
- einde
- handhaving
- verzekeren
- even
- oprichten
- Europa
- Zelfs
- voorbeeld
- verwachten
- uitgelegd
- Mislukt
- Mode
- minder
- vechten
- Focus
- gericht
- gevolgd
- Voor
- Forum
- gevonden
- Gratis
- vaak
- oppompen van
- verdiensten
- doel
- Doelen
- Overheid
- Ground
- Groep
- Groep
- Hackers
- oogst
- Hebben
- het helpen van
- zijn
- Echter
- HTTPS
- geïdentificeerd
- Impact
- uitvoeren
- belangrijk
- in
- informatie
- eerste
- Intelligentie
- interessant
- invasie
- IT
- IT-dienst
- HAAR
- krik
- Januari
- juni
- sleutel
- toetsen
- bekend
- Achternaam*
- Afgelopen jaar
- later
- Latijns
- Latijns Amerika
- Wet
- politie
- minst
- als
- Laag
- te verlagen
- malware
- Fabrikanten
- meester
- Zaken
- Mei..
- middel
- maatregelen
- MFA
- Microsoft
- Leger
- bescheiden
- Maand
- meer
- meest
- beweegt
- multifactor authenticatie
- meervoudig
- Noodzaak
- netwerk
- netwerken
- NGO's
- geen
- opvallend
- of
- aanvallend
- vaak
- on
- besturen
- exploiteert
- operatie
- operationele
- Operations
- tegenstanders
- or
- bestellen
- organisatorische
- organisaties
- Overige
- buiten
- deel
- vooral
- Patch
- plaveien
- misschien
- volharding
- Plato
- Plato gegevensintelligentie
- PlatoData
- gespeeld
- presenteren
- principe
- privilege
- voorrechten
- Proactieve
- procedures
- beschermen
- providers
- tarief
- liever
- recent
- beveelt
- verwant
- relatief
- herzien
- Rol
- Rusland
- Russisch
- s
- zegt
- veiligheid
- gevoelig
- Servers
- service
- dienstverleners
- Diensten
- ze
- evenzo
- So
- Software
- uitsluitend
- begin
- Stap voor
- Still
- Strategie
- sterke
- succes
- geslaagd
- leveren
- toeleveringsketen
- verrassing
- Systems
- tactiek
- Nemen
- doelgerichte
- doelen
- technieken
- neem contact
- dat
- De
- The Basics
- hun
- Ze
- ze
- dit
- die
- bedreiging
- Door
- naar
- tools
- in de richting van
- trades
- Trainen
- getraind
- Draai
- Oekraïne
- Oekraïens
- op
- gebruikers
- gebruik
- kwetsbaarheden
- Warns
- was
- golven
- Manier..
- manieren
- web
- websites
- GOED
- waren
- Wat
- wat
- wanneer
- en
- WIE
- Met
- werkzaam
- bezorgd
- zou
- jaar
- Your
- zephyrnet
