En trusselaktør som spilte en nøkkelrolle i forløpet til den russiske invasjonen av Ukraina ble identifisert 14. juni. Aktiviteten fra «Cadet Blizzard» avanserte vedvarende trussel (APT) toppet seg fra januar til juni i fjor, og bidro til å bane vei for militær invasjon.
Microsoft detaljerte aktiviteten i et blogginnlegg. Mest bemerkelsesverdig blant APTs handlinger var en kampanje for å ødelegge ukrainske myndigheters nettsteder, og en visker kjent som "WhisperGate" som ble designet for å gjøre datasystemer helt ubrukelige.
Disse angrepene "forutsatte flere bølger av angrep fra Seashell Blizzard" - en annen russisk gruppe - "det fulgte da det russiske militæret startet sin bakkeoffensiv en måned senere," forklarte Microsoft.
Microsoft koblet Cadet Blizzard med Russlands militære etterretningsbyrå, GRU.
Å identifisere APT er et skritt mot å bekjempe russisk statsstøttet nettkriminalitet, sier Timothy Morris, sjefssikkerhetsrådgiver i Tanium, "det er imidlertid alltid viktigere å fokusere på atferd og taktikk, teknikker og prosedyrer (TTP) og ikke bare på hvem som angriper."
Cadet Blizzards atferd og TTP-er
Generelt får Cadet Blizzard innledende tilgang til mål gjennom kjente sårbarheter i Internett-vendte webservere som Microsoft Exchange og Atlassisk sammenløp. Etter å ha kompromittert et nettverk, beveger det seg sideveis, innhenter legitimasjon og eskalerer privilegier, og bruker web-skall for å etablere utholdenhet før det stjeler sensitive organisasjonsdata eller distribuerer utryddende skadelig programvare.
Gruppen diskriminerer ikke i sluttmålene sine, og sikter på «avbrudd, ødeleggelse og informasjonsinnsamling, ved å bruke alle tilgjengelige midler og noen ganger opptrer på en tilfeldig måte», forklarte Microsoft.
Men i stedet for å være en knallmann, er Cadet mer som en mester i ingen. "Det som kanskje er mest interessant med denne skuespilleren," skrev Microsoft om APT, "er dens relativt lave suksessrate sammenlignet med andre GRU-tilknyttede skuespillere som Seashell Blizzard [Iridium, Sandworm] og Forrest Blizzard (APT28, Fancy Bear, Sofacy, Strontium].”
For eksempel sammenlignet med vindusviskerangrep tilskrevet Seashell Blizzard, Cadets WhisperGate "påvirket en størrelsesorden færre systemer og leverte relativt beskjeden effekt, til tross for at de ble opplært til å ødelegge nettverkene til motstanderne i Ukraina," forklarte Microsoft. "De nyere Cadet Blizzard-cyberoperasjonene, selv om de noen ganger var vellykkede, klarte heller ikke å oppnå effekten av de som ble utført av GRU-motpartene."
Alt dette tatt i betraktning, er det ingen overraskelse at hackerne også "ser ut til å operere med en lavere grad av operasjonell sikkerhet enn for langvarige og avanserte russiske grupper," fant Microsoft.
Hva kan du forvente av Cadet Blizzard APT
Selv om de er sentrert om saker relatert til Ukraina, er ikke Cadet Blizzard-operasjonene spesielt fokuserte.
I tillegg til å distribuere sin signaturvisker og ødelegge myndighetenes nettsteder, driver gruppen også et hack-and-leak-forum kalt «Free Civilian». Utenfor Ukraina har den angrepet mål andre steder i Europa, Sentral-Asia og til og med Latin-Amerika. Og i tillegg til offentlige etater, var det ofte rettet mot IT-tjenesteleverandører og produsenter av programvareforsyningskjede, så vel som frivillige organisasjoner, nødetater og rettshåndhevelse.
Men selv om de kan ha en mer rotete operasjon på visse måter, advarer Sherrod DeGrippo, direktør for trusseletterretningsstrategi hos Microsoft, at Cadet Blizzard fortsatt er en fryktinngytende APT.
"Målet deres er ødeleggelse, så organisasjoner må absolutt være like bekymret for dem som andre aktører, og ta proaktive tiltak som å slå på skybeskyttelse, gjennomgå autentiseringsaktivitet og aktiverer multifaktorautentisering (MFA) for å beskytte mot dem, sier hun.
Morris anbefaler på sin side at organisasjoner "starter med det grunnleggende: sterk autentisering - MFA,
FIDO-nøkler der det er nødvendig — implementere prinsippet om minste privilegium; lapp, lapp, lapp; sikre at sikkerhetskontrollene og verktøyene dine er tilstede og fungerer; og trener brukere ofte.»
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- EVM Finans. Unified Interface for desentralisert økonomi. Tilgang her.
- Quantum Media Group. IR/PR forsterket. Tilgang her.
- PlatoAiStream. Web3 Data Intelligence. Kunnskap forsterket. Tilgang her.
- kilde: https://www.darkreading.com/threat-intelligence/russian-apt-cadet-blizzard-ukraine-wiper-attacks
- : har
- :er
- :ikke
- :hvor
- 14
- 7
- a
- Om oss
- absolutt
- adgang
- Oppnå
- skuespill
- handlinger
- aktivitet
- aktører
- avansert
- rådgiver
- Etter
- mot
- byråer
- byrå
- Sikter
- Alle
- også
- Selv
- alltid
- america
- blant
- an
- og
- vises
- APT
- ER
- AS
- asia
- At
- angripe
- Angrep
- Autentisering
- tilgjengelig
- Grunnleggende
- BE
- Bær
- før du
- begynte
- bak
- være
- foruten
- Blogg
- by
- som heter
- Kampanje
- sentrert
- sentral
- sentral Asia
- viss
- kjede
- sjef
- Cloud
- samling
- vanligvis
- forholdsvis
- sammenlignet
- helt
- kompromittere
- datamaskin
- gjennomført
- tilkoblet
- ansett
- kontroller
- Credentials
- cyber
- cybercrime
- dato
- Grad
- levert
- utplasserings
- designet
- Til tross for
- ødelegge
- detaljert
- Regissør
- Avbrudd
- doesn
- gjør
- andre steder
- nødsituasjon
- slutt
- håndhevelse
- sikre
- like
- etablere
- Europa
- Selv
- eksempel
- forvente
- forklarte
- Mislyktes
- Mote
- færre
- slåss
- Fokus
- fokuserte
- fulgt
- Til
- Forum
- funnet
- Gratis
- ofte
- fra
- inntjening
- mål
- Mål
- Regjeringen
- Ground
- Gruppe
- Gruppens
- hackere
- høsting
- Ha
- hjelpe
- hans
- Men
- HTTPS
- identifisert
- Påvirkning
- iverksette
- viktig
- in
- informasjon
- innledende
- Intelligens
- interessant
- invasjon
- IT
- IT-tjeneste
- DET ER
- Jack
- Januar
- juni
- nøkkel
- nøkler
- kjent
- Siste
- I fjor
- seinere
- Latin
- latin amerika
- Law
- rettshåndhevelse
- minst
- i likhet med
- Lav
- lavere
- malware
- Produsenter
- Master
- Saker
- Kan..
- midler
- målinger
- MFA
- Microsoft
- Militær
- beskjeden
- Måned
- mer
- mest
- trekk
- multifaktorautentisering
- flere
- Trenger
- nettverk
- nettverk
- Frivillige organisasjoner
- Nei.
- bemerkelsesverdig
- of
- støtende
- ofte
- on
- betjene
- opererer
- drift
- operasjonell
- Drift
- motstandere
- or
- rekkefølge
- organisasjons
- organisasjoner
- Annen
- utenfor
- del
- spesielt
- patch
- vraket
- kanskje
- utholdenhet
- plato
- Platon Data Intelligence
- PlatonData
- spilt
- presentere
- prinsipp
- privilegium
- privilegier
- Proaktiv
- prosedyrer
- beskytte
- tilbydere
- Sats
- heller
- nylig
- anbefaler
- i slekt
- relativt
- gjennomgå
- Rolle
- Russland
- russisk
- s
- sier
- sikkerhet
- sensitive
- Servere
- tjeneste
- tjenestetilbydere
- Tjenester
- hun
- på samme måte
- So
- Software
- utelukkende
- Begynn
- Trinn
- Still
- Strategi
- sterk
- suksess
- vellykket
- levere
- forsyningskjeden
- overraskelse
- Systemer
- taktikk
- Ta
- målrettet
- mål
- teknikker
- enn
- Det
- De
- Grunnleggende
- deres
- Dem
- de
- denne
- De
- trussel
- Gjennom
- til
- verktøy
- mot
- handler
- Tog
- trent
- Turning
- Ukraina
- ukrainsk
- upon
- Brukere
- ved hjelp av
- Sikkerhetsproblemer
- advarer
- var
- bølger
- Vei..
- måter
- web
- nettsteder
- VI VIL
- var
- Hva
- uansett
- når
- mens
- HVEM
- med
- arbeid
- bekymret
- ville
- år
- Din
- zephyrnet
