14 czerwca zidentyfikowano podmiot zagrażający, który odegrał kluczową rolę w przygotowaniach do rosyjskiej inwazji na Ukrainę. Aktywność zaawansowanego trwałego zagrożenia (APT) „Cadet Blizzard” osiągnęła szczyt od stycznia do czerwca ubiegłego roku, pomagając utorować drogę za inwazję wojskową.
Microsoft szczegółowo opisał działanie w blogu. Do najbardziej godnych uwagi działań APT należała kampania mająca na celu oczernianie stron internetowych ukraińskiego rządu oraz wycieraczka znana jako „WhisperGate” który miał na celu całkowite uniemożliwienie działania systemów komputerowych.
Ataki te „poprzedziły wiele fal ataków Seashell Blizzard” — kolejna rosyjska grupa — „To nastąpiło, gdy miesiąc później rosyjskie wojsko rozpoczęło ofensywę lądową” – wyjaśnił Microsoft.
Microsoft połączył Cadeta Blizzarda z rosyjską agencją wywiadu wojskowego GRU.
Zidentyfikowanie APT to krok w kierunku walki z cyberprzestępczością sponsorowaną przez rosyjskie państwo, mówi Timothy Morris, główny doradca ds. bezpieczeństwa w Tanium, „jednak zawsze ważniejsze jest skupienie się na zachowaniach i taktykach, technikach i procedurach (TTP), a nie tylko tego, kto atakuje”.
Zachowania i TTP kadetów Blizzarda
Ogólnie rzecz biorąc, Cadet Blizzard uzyskuje początkowy dostęp do celów poprzez powszechnie znane luki w zabezpieczeniach serwerów internetowych, takich jak Microsoft Exchange i Zbieg Atlassian. Po złamaniu zabezpieczeń sieci porusza się bocznie, zbierając dane uwierzytelniające i zwiększając uprawnienia, a następnie korzystając z powłok internetowych w celu zapewnienia trwałości przed kradzieżą wrażliwych danych organizacyjnych lub wdrożeniem wyniszczającego szkodliwego oprogramowania.
Grupa nie stosuje dyskryminacji w swoich ostatecznych celach, dążąc do „zakłócania, niszczenia i gromadzenia informacji przy użyciu wszelkich dostępnych środków, a czasami działając w sposób przypadkowy” – wyjaśnił Microsoft.
Ale zamiast być specjalistą od wszystkiego, Cadet jest bardziej mistrzem niczego. „To, co być może najbardziej interesujące w przypadku tego aktora” – napisał Microsoft o APT, „jest jego stosunkowo niski wskaźnik sukcesu w porównaniu z innymi aktorami stowarzyszonymi z GRU, takimi jak Seashell Blizzard [Iridium, Sandworm] i Forrest Blizzard (APT28, Fancy Bear, Sofacy, Stront]. "
Na przykład w porównaniu do ataki wycieraczek przypisywane Seashell BlizzardowiWhisperGate firmy Cadet „wpłynął na o rząd wielkości mniej systemów i wywarł stosunkowo skromny wpływ pomimo przeszkolenia w zakresie niszczenia sieci przeciwników na Ukrainie” – wyjaśnił Microsoft. „Niedawne operacje cybernetyczne Cadet Blizzard, choć czasami udane, podobnie nie przyniosły takiego skutku, jak operacje prowadzone przez jego odpowiedniki z GRU”.
Biorąc to wszystko pod uwagę, nie jest zaskoczeniem, że hakerzy „wydają się działać przy niższym stopniu bezpieczeństwa operacyjnego niż w przypadku długotrwałych i zaawansowanych grup rosyjskich” – stwierdził Microsoft.
Czego można się spodziewać po Cadet Blizzard APT
Choć działania Cadet Blizzard skupiają się na sprawach związanych z Ukrainą, nie są szczególnie skoncentrowane.
Oprócz wdrażania narzędzia do czyszczenia podpisów i niszczenia rządowych witryn internetowych grupa prowadzi także forum poświęcone hackom i wyciekom o nazwie „Free Civilian”. Poza Ukrainą atakował cele w innych częściach Europy, Azji Środkowej, a nawet Ameryki Łacińskiej. Oprócz agencji rządowych jego celem często byli dostawcy usług IT i producenci łańcucha dostaw oprogramowania, a także organizacje pozarządowe, służby ratunkowe i organy ścigania.
Jednak choć pod pewnymi względami mogą one prowadzić do bardziej chaotycznego działania, Sherrod DeGrippo, dyrektor ds. strategii analizy zagrożeń w firmie Microsoft, ostrzega, że Cadet Blizzard nadal jest przerażającym APT.
„Ich celem jest zniszczenie, więc organizacje absolutnie muszą się o nie martwić w równym stopniu, jak inne podmioty, i podejmować proaktywne działania, takie jak włączanie zabezpieczeń w chmurze, sprawdzanie aktywności związanej z uwierzytelnianiem i włączanie uwierzytelniania wieloskładnikowego (MFA) chronić się przed nimi” – mówi.
Ze swojej strony Morris zaleca, aby organizacje „zaczynały od podstaw: silnego uwierzytelniania — MFA,
W razie potrzeby klucze FIDO — wdrożyć zasadę najmniejszych przywilejów; łatka, łatka, łatka; upewnij się, że środki i narzędzia bezpieczeństwa są obecne i działają; i często szkolić użytkowników.”
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- EVM Finanse. Ujednolicony interfejs dla zdecentralizowanych finansów. Dostęp tutaj.
- Quantum Media Group. Wzmocnienie IR/PR. Dostęp tutaj.
- PlatoAiStream. Analiza danych Web3. Wiedza wzmocniona. Dostęp tutaj.
- Źródło: https://www.darkreading.com/threat-intelligence/russian-apt-cadet-blizzard-ukraine-wiper-attacks
- :ma
- :Jest
- :nie
- :Gdzie
- 14
- 7
- a
- O nas
- absolutnie
- dostęp
- Osiągać
- gra aktorska
- działania
- działalność
- aktorzy
- zaawansowany
- doradca
- Po
- przed
- agencje
- agencja
- Cel
- Wszystkie kategorie
- również
- Chociaż
- zawsze
- Ameryka
- wśród
- an
- i
- zjawić się
- APT
- SĄ
- AS
- Azja
- At
- Napadający
- Ataki
- Uwierzytelnianie
- dostępny
- Podstawy
- BE
- Niedźwiedź
- zanim
- rozpoczął
- za
- jest
- oprócz
- Blog
- by
- nazywa
- Kampania
- wyśrodkowany
- centralny
- Azja centralna
- pewien
- łańcuch
- szef
- Chmura
- kolekcja
- powszechnie
- stosunkowo
- w porównaniu
- całkowicie
- kompromis
- komputer
- przeprowadzone
- połączony
- za
- kontroli
- Listy uwierzytelniające
- cyber
- cyberprzestępczość
- dane
- Stopień
- dostarczona
- wdrażanie
- zaprojektowany
- Mimo
- zniszczyć
- szczegółowe
- Dyrektor
- Zakłócenie
- robi
- robi
- gdzie indziej
- nagły wypadek
- zakończenia
- egzekwowanie
- zapewnić
- Równie
- zapewniają
- Europie
- Parzyste
- przykład
- oczekiwać
- wyjaśnione
- Failed
- Moda
- mniej
- walczący
- Skupiać
- koncentruje
- następnie
- W razie zamówieenia projektu
- Forum
- znaleziono
- Darmowy
- często
- od
- Zyski
- cel
- Gole
- Rząd
- Ziemia
- Zarządzanie
- Grupy
- hakerzy
- Żniwny
- Have
- pomoc
- jego
- Jednak
- HTTPS
- zidentyfikowane
- Rezultat
- wdrożenia
- ważny
- in
- Informacja
- początkowy
- Inteligencja
- ciekawy
- inwazja
- IT
- obsługa informatyczna
- JEGO
- jack
- styczeń
- czerwiec
- Klawisz
- Klawisze
- znany
- Nazwisko
- Ostatni rok
- później
- łacina
- Ameryka Łacińska
- Prawo
- egzekwowanie prawa
- najmniej
- lubić
- niski
- niższy
- malware
- Producenci
- mistrz
- Matters
- Może..
- znaczy
- środków
- MSZ
- Microsoft
- Wojsko
- skromny
- Miesiąc
- jeszcze
- większość
- porusza się
- uwierzytelnianie wieloczynnikowe
- wielokrotność
- Potrzebować
- sieć
- sieci
- NGO
- Nie
- dostojnik
- of
- obraźliwy
- często
- on
- działać
- działa
- działanie
- operacyjny
- operacje
- przeciwnicy
- or
- zamówienie
- organizacyjny
- organizacji
- Inne
- zewnętrzne
- część
- szczególnie
- Łata
- wybrukować
- może
- uporczywość
- plato
- Analiza danych Platona
- PlatoDane
- grał
- teraźniejszość
- zasada
- przywilej
- przywileje
- Proaktywne
- procedury
- chronić
- dostawców
- Kurs
- raczej
- niedawny
- zaleca
- związane z
- stosunkowo
- recenzowanie
- Rola
- Rosja
- Rosyjski
- s
- mówią
- bezpieczeństwo
- wrażliwy
- Serwery
- usługa
- usługodawcy
- Usługi
- ona
- Podobnie
- So
- Tworzenie
- Wyłącznie
- początek
- Ewolucja krok po kroku
- Nadal
- Strategia
- silny
- sukces
- udany
- Dostawa
- łańcuch dostaw
- niespodzianka
- systemy
- taktyka
- Brać
- ukierunkowane
- cele
- Techniki
- niż
- że
- Połączenia
- Podstawy
- ich
- Im
- one
- to
- tych
- groźba
- Przez
- do
- narzędzia
- w kierunku
- Transakcje
- Pociąg
- przeszkolony
- Obrócenie
- Ukraina
- ukraiński
- na
- Użytkownicy
- za pomocą
- Luki w zabezpieczeniach
- Ostrzega
- była
- fale
- Droga..
- sposoby
- sieć
- strony internetowe
- DOBRZE
- były
- Co
- cokolwiek
- jeśli chodzi o komunikację i motywację
- Podczas
- KIM
- w
- pracujący
- zmartwiony
- by
- rok
- Twój
- zefirnet
