Un actor de amenințare care a jucat un rol cheie în perioada premergătoare invaziei ruse a Ucrainei a fost identificat pe 14 iunie. Activitatea amenințării persistente avansate „Cadet Blizzard” (APT) a atins apogeul din ianuarie până în iunie anul trecut, contribuind la deschiderea drumului. pentru invazie militară.
Microsoft a detaliat activitatea în o postare pe blog. Cele mai notabile dintre acțiunile APT au fost o campanie de denaturare a site-urilor web ale guvernului ucrainean și un ștergător cunoscut sub numele de „WhisperGate” care a fost conceput pentru a face sistemele informatice complet inoperabile.
Aceste atacuri „au prefațat mai multe valuri de atacuri ale lui Seashell Blizzard” - un alt grup rusesc — „A urmat când armata rusă și-a început ofensiva terestră o lună mai târziu”, a explicat Microsoft.
Microsoft a conectat Cadet Blizzard cu agenția rusă de informații militare, GRU.
Identificarea APT este un pas către combaterea criminalității cibernetice sponsorizate de stat rusesc, spune Timothy Morris, consilier șef de securitate la Tanium, „cu toate acestea, este întotdeauna mai important să ne concentrăm asupra comportamentelor și tacticilor, tehnicilor și procedurilor (TTP) și nu numai. asupra cine atacă.”
Comportamentele și TTP-urile cadetului Blizzard
În general, Cadet Blizzard obține acces inițial la ținte prin vulnerabilitățile cunoscute în mod obișnuit în serverele Web care se confruntă cu Internet, cum ar fi Microsoft Exchange și Confluența atlassiană. După ce compromite o rețea, aceasta se mișcă lateral, recoltând acreditări și escaladând privilegiile și folosind shell-uri Web pentru a stabili persistența înainte de a fura date organizaționale sensibile sau de a implementa programe malware extirpative.
Grupul nu discriminează în scopurile sale finale, urmărind „perturbarea, distrugerea și colectarea de informații, folosind orice mijloace disponibile și uneori acționând într-un mod întâmplător”, a explicat Microsoft.
Dar, mai degrabă decât să fie un stăpân în toate meseriile, Cadet este mai degrabă un maestru al niciunei. „Ceea ce este probabil cel mai interesant la acest actor”, a scris Microsoft despre APT, „este rata de succes relativ scăzută în comparație cu alți actori afiliați GRU precum Seashell Blizzard [Iridium, Sandworm] și Forrest Blizzard (APT28, Fancy Bear, Sofacy, Stronțiu].“
De exemplu, comparativ cu atacurile ștergătoarelor atribuite Seashell Blizzard, Cadet's WhisperGate „a afectat cu un ordin de mărime mai puține sisteme și a avut un impact relativ modest, în ciuda faptului că era antrenat să distrugă rețelele oponenților lor din Ucraina”, a explicat Microsoft. „Cele mai recente operațiuni cibernetice Cadet Blizzard, deși uneori de succes, nu au reușit în mod similar să atingă impactul celor desfășurate de omologii săi GRU.”
Luând în considerare toate acestea, nu este surprinzător faptul că hackerii „par să opereze cu un grad mai scăzut de securitate operațională decât cel al grupurilor rusești de lungă durată și avansate”, a constatat Microsoft.
La ce să vă așteptați de la Cadet Blizzard APT
Deși se concentrează pe chestiuni legate de Ucraina, operațiunile Cadet Blizzard nu sunt deosebit de concentrate.
Pe lângă desfășurarea ștergării semnăturii și deformarea site-urilor web guvernamentale, grupul operează și un forum de hack-and-leak numit „Free Civilian”. În afara Ucrainei, a atacat ținte în alte părți din Europa, Asia Centrală și chiar America Latină. Și pe lângă agențiile guvernamentale, a vizat adesea furnizorii de servicii IT și producătorii de lanțuri de aprovizionare cu software, precum și ONG-urile, serviciile de urgență și forțele de ordine.
Dar, deși pot avea o operațiune mai dezordonată în anumite privințe, Sherrod DeGrippo, directorul strategiei de informații despre amenințări la Microsoft, avertizează că Cadet Blizzard este încă un APT de temut.
„Obiectivul lor este distrugerea, așa că organizațiile trebuie să fie la fel de îngrijorate pentru ei, ca și alți actori, și să ia măsuri proactive, cum ar fi activarea protecției cloud, revizuirea activității de autentificare și activarea autentificarea multifactor (MFA) pentru a vă proteja împotriva lor”, spune ea.
La rândul său, Morris recomandă organizațiilor „să înceapă cu elementele de bază: autentificare puternică – MFA,
Tastele FIDO acolo unde este necesar — implementarea principiului celui mai mic privilegiu; plasture, plasture, plasture; asigurați-vă că controalele și instrumentele dvs. de securitate sunt prezente și funcționează; și instruiți frecvent utilizatorii.”
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- EVM Finance. Interfață unificată pentru finanțare descentralizată. Accesați Aici.
- Grupul Quantum Media. IR/PR amplificat. Accesați Aici.
- PlatoAiStream. Web3 Data Intelligence. Cunoștințe amplificate. Accesați Aici.
- Sursa: https://www.darkreading.com/threat-intelligence/russian-apt-cadet-blizzard-ukraine-wiper-attacks
- :are
- :este
- :nu
- :Unde
- 14
- 7
- a
- Despre Noi
- absolut
- acces
- Obține
- actorie
- acțiuni
- activitate
- actori
- avansat
- consilier
- După
- împotriva
- Agențiile
- agenție
- Urmarind
- TOATE
- de asemenea
- Cu toate ca
- mereu
- America
- printre
- an
- și
- apărea
- APT
- SUNT
- AS
- Asia
- At
- atacare
- Atacuri
- Autentificare
- disponibil
- Noțiuni de bază
- BE
- Urs
- înainte
- început
- în spatele
- fiind
- in afara de asta
- Blog
- by
- denumit
- Campanie
- centrat
- central
- Asia Centrala
- sigur
- lanţ
- şef
- Cloud
- colectare
- în mod obișnuit
- comparativ
- comparație
- complet
- compromisor
- calculator
- efectuat
- legat
- luate în considerare
- controale
- scrisori de acreditare
- Cyber
- criminalităţii cibernetice
- de date
- Grad
- livrate
- Implementarea
- proiectat
- În ciuda
- distruge
- detaliat
- Director
- Ruptură
- nu
- face
- în altă parte
- caz de urgență
- capăt
- executare
- asigura
- la fel de
- stabili
- Europa
- Chiar
- exemplu
- aștepta
- a explicat
- A eșuat
- Modă
- mai puține
- luptă
- Concentra
- concentrat
- a urmat
- Pentru
- forum
- găsit
- Gratuit
- frecvent
- din
- câștig
- scop
- Goluri
- Guvern
- Teren
- grup
- Grupului
- hackeri
- recoltat
- Avea
- ajutor
- lui
- Totuși
- HTTPS
- identificat
- Impactul
- punerea în aplicare a
- important
- in
- informații
- inițială
- Inteligență
- interesant
- invazie
- IT
- Serviciu IT
- ESTE
- jack
- ianuarie
- iunie
- Cheie
- chei
- cunoscut
- Nume
- Anul trecut
- mai tarziu
- latin
- America Latina
- Drept
- de aplicare a legii
- cel mai puțin
- ca
- Jos
- LOWER
- malware
- Producătorii
- maestru
- materie
- Mai..
- mijloace
- măsuri
- AMF
- Microsoft
- Militar
- modest
- Lună
- mai mult
- cele mai multe
- mişcă
- autentificare multifactor
- multiplu
- Nevoie
- reţea
- rețele
- ONG-urile
- Nu.
- notabil
- of
- ofensator
- de multe ori
- on
- funcionar
- opereaza
- operaţie
- operațional
- Operațiuni
- adversarii
- or
- comandă
- de organizare
- organizații
- Altele
- exterior
- parte
- în special
- Plasture
- Pave
- poate
- persistență
- Plato
- Informații despre date Platon
- PlatoData
- a jucat
- prezenta
- principiu
- privilegiu
- privilegii
- Proactivă
- Proceduri
- proteja
- furnizori
- rată
- mai degraba
- recent
- recomandă
- legate de
- relativ
- revizuirea
- Rol
- Rusia
- Rusă
- s
- spune
- securitate
- sensibil
- Servere
- serviciu
- prestatori de servicii
- Servicii
- ea
- asemănător
- So
- Software
- Numai
- Începe
- Pas
- Încă
- Strategie
- puternic
- succes
- de succes
- livra
- lanțului de aprovizionare
- surpriză
- sisteme
- tactică
- Lua
- vizate
- obiective
- tehnici de
- decât
- acea
- Noțiuni de bază
- lor
- Lor
- ei
- acest
- aceste
- amenințare
- Prin
- la
- Unelte
- față de
- meserii
- Tren
- dresat
- Cotitură
- Ucraina
- ucrainean
- pe
- utilizatorii
- folosind
- Vulnerabilitățile
- avertizează
- a fost
- valuri
- Cale..
- modalități de
- web
- site-uri web
- BINE
- au fost
- Ce
- indiferent de
- cand
- în timp ce
- OMS
- cu
- de lucru
- îngrijorat
- ar
- an
- Ta
- zephyrnet
