Um ator de ameaça que desempenhou um papel fundamental na preparação para a invasão russa da Ucrânia foi identificado em 14 de junho. A atividade da ameaça persistente avançada (APT) “Cadet Blizzard” atingiu o pico de janeiro a junho do ano passado, ajudando a preparar o caminho para invasão militar.
A Microsoft detalhou a atividade em um post de blog. As ações mais notáveis da APT foram uma campanha para desfigurar sites do governo ucraniano e um limpador conhecido como “WhisperGate” que foi projetado para tornar os sistemas de computador completamente inoperantes.
Esses ataques “prefaciaram múltiplas ondas de ataques da Seashell Blizzard” – outro grupo russo – “isso aconteceu quando os militares russos iniciaram sua ofensiva terrestre um mês depois”, explicou a Microsoft.
A Microsoft conectou o Cadet Blizzard com a agência de inteligência militar da Rússia, a GRU.
Identificar a APT é um passo no combate ao cibercrime patrocinado pelo Estado russo, diz Timothy Morris, consultor-chefe de segurança da Tanium, “no entanto, é sempre mais importante focar nos comportamentos e táticas, técnicas e procedimentos (TTPs) e não apenas sobre quem está atacando.”
Comportamentos e TTPs do Cadete Blizzard
Geralmente, o Cadet Blizzard obtém acesso inicial aos alvos através de vulnerabilidades comumente conhecidas em servidores Web voltados para a Internet, como Microsoft Exchange e Confluência Atlassiana. Depois de comprometer uma rede, ele se move lateralmente, coletando credenciais e aumentando privilégios, e usando shells da Web para estabelecer persistência antes de roubar dados organizacionais confidenciais ou implantar malware extirpativo.
O grupo não discrimina seus objetivos finais, visando “perturbação, destruição e coleta de informações, usando todos os meios disponíveis e às vezes agindo de forma aleatória”, explicou a Microsoft.
Mas, em vez de ser um pau para toda obra, Cadete é mais como um mestre de ninguém. “O que talvez seja mais interessante sobre esse ator”, escreveu a Microsoft sobre o APT, “é sua taxa de sucesso relativamente baixa em comparação com outros atores afiliados ao GRU, como Seashell Blizzard [Iridium, Sandworm] e Forrest Blizzard (APT28, Fancy Bear, Sofacy, Estrôncio].
Por exemplo, em comparação com ataques de limpador atribuídos à Seashell Blizzard, o WhisperGate do Cadet “afetou uma ordem de magnitude menos sistemas e causou um impacto comparativamente modesto, apesar de ter sido treinado para destruir as redes de seus oponentes na Ucrânia”, explicou a Microsoft. “As operações cibernéticas mais recentes da Cadet Blizzard, embora ocasionalmente bem-sucedidas, também não conseguiram atingir o impacto daquelas conduzidas pelos seus homólogos do GRU.”
Considerando tudo isto, não é surpresa que os hackers também “pareçam operar com um grau de segurança operacional inferior ao de grupos russos avançados e de longa data”, concluiu a Microsoft.
O que esperar do Cadet Blizzard APT
Embora centradas em assuntos relacionados à Ucrânia, as operações da Cadet Blizzard não são particularmente focadas.
Além de implantar seu limpador de assinaturas e desfigurar sites do governo, o grupo também opera um fórum de hack-and-leak chamado “Civil Livre”. Fora da Ucrânia, atacou alvos noutros locais da Europa, da Ásia Central e até da América Latina. E, além de agências governamentais, visava frequentemente prestadores de serviços de TI e fabricantes de cadeias de fornecimento de software, bem como ONG, serviços de emergência e autoridades policiais.
Mas embora possam ter uma operação mais complicada em certos aspectos, Sherrod DeGrippo, diretor de estratégia de inteligência de ameaças da Microsoft, alerta que Cadet Blizzard ainda é um APT temível.
“Seu objetivo é a destruição, então as organizações precisam estar igualmente preocupadas com eles, como fariam com outros atores, e tomar medidas proativas, como ativar proteções na nuvem, revisar a atividade de autenticação e habilitando a autenticação multifator (MFA) para se proteger contra eles”, diz ela.
Por sua vez, Morris recomenda que as organizações “comecem com o básico: autenticação forte – MFA,
Chaves FIDO quando necessário — implementar o princípio do menor privilégio; remendo, remendo, remendo; garantir que seus controles e ferramentas de segurança estejam presentes e funcionando; e treinar os usuários com frequência.”
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- EVM Finanças. Interface unificada para finanças descentralizadas. Acesse aqui.
- Grupo de Mídia Quântica. IR/PR Amplificado. Acesse aqui.
- PlatoAiStream. Inteligência de Dados Web3. Conhecimento Amplificado. Acesse aqui.
- Fonte: https://www.darkreading.com/threat-intelligence/russian-apt-cadet-blizzard-ukraine-wiper-attacks
- :tem
- :é
- :não
- :onde
- 14
- 7
- a
- Sobre
- absolutamente
- Acesso
- Alcançar
- atuação
- ações
- atividade
- atores
- avançado
- assessor
- Depois de
- contra
- agências
- agência
- Visando
- Todos os Produtos
- tb
- Apesar
- sempre
- América
- entre
- an
- e
- aparecer
- APT
- SOMOS
- AS
- Ásia
- At
- Atacante
- Ataques
- Autenticação
- disponível
- fundamentos básicos
- BE
- Tenha
- antes
- começou
- atrás
- ser
- além de
- Blog
- by
- chamado
- Campanha
- centralizado
- central
- Ásia Central
- certo
- cadeia
- chefe
- Na nuvem
- coleção
- geralmente
- comparativamente
- comparado
- completamente
- comprometendo
- computador
- conduzido
- conectado
- considerado
- controles
- Credenciais
- cibernético
- cibercrime
- dados,
- Grau
- entregue
- Implantação
- projetado
- Apesar de
- destruir
- detalhado
- Diretor
- Rompimento
- não
- fazer
- em outro lugar
- kit
- final
- aplicação
- garantir
- igualmente
- estabelecer
- Europa
- Mesmo
- exemplo
- esperar
- explicado
- fracassado
- Moda
- menos
- combate
- Foco
- focado
- seguido
- Escolha
- Fórum
- encontrado
- Gratuito
- freqüentemente
- da
- Ganhos
- meta
- Objetivos
- Governo
- Solo
- Grupo
- Do grupo
- hackers
- Colheita
- Ter
- ajuda
- sua
- Contudo
- HTTPS
- identificado
- Impacto
- executar
- importante
- in
- INFORMAÇÕES
- do estado inicial,
- Inteligência
- interessante
- invasão
- IT
- Serviço de TI
- ESTÁ
- tomada
- janeiro
- Junho
- Chave
- chaves
- conhecido
- Sobrenome
- Ano passado
- mais tarde
- latino
- América Latina
- Escritórios de
- aplicação da lei
- mínimo
- como
- Baixo
- diminuir
- malwares
- Fabricantes
- dominar
- Matéria
- Posso..
- significa
- medidas
- MFA
- Microsoft
- Militar
- modesto
- Mês
- mais
- a maioria
- movimentos
- autenticação multifator
- múltiplo
- você merece...
- rede
- redes
- ONGs
- não
- notável
- of
- ofensivo
- frequentemente
- on
- operar
- opera
- operação
- operacional
- Operações
- adversários
- or
- ordem
- organizacional
- organizações
- Outros
- lado de fora
- parte
- particularmente
- Remendo
- pavimentar
- possivelmente
- persistência
- platão
- Inteligência de Dados Platão
- PlatãoData
- desempenhado
- presente
- princípio
- privilégio
- privilégios
- Proactive
- procedimentos
- proteger
- fornecedores
- Taxa
- em vez
- recentemente
- recomenda
- relacionado
- relativamente
- revendo
- Tipo
- Rússia
- russo
- s
- diz
- segurança
- sensível
- Servidores
- serviço
- provedores de serviço
- Serviços
- ela
- Similarmente
- So
- Software
- unicamente
- começo
- Passo
- Ainda
- Estratégia
- mais forte,
- sucesso
- bem sucedido
- supply
- cadeia de suprimentos
- surpresa
- sistemas
- tática
- Tire
- visadas
- tem como alvo
- técnicas
- do que
- que
- A
- O Básico
- deles
- Eles
- deles
- isto
- aqueles
- ameaça
- Através da
- para
- ferramentas
- para
- trades
- Trem
- treinado
- Passando
- Ucrânia
- Ucraniano
- sobre
- usuários
- utilização
- vulnerabilidades
- Avisa
- foi
- ondas
- Caminho..
- maneiras
- web
- sites
- BEM
- foram
- O Quê
- o que quer
- quando
- enquanto
- QUEM
- de
- trabalhar
- preocupado
- seria
- ano
- investimentos
- zefirnet