14 июня был выявлен субъект угрозы, сыгравший ключевую роль в подготовке к российскому вторжению в Украину. Активность продвинутой постоянной угрозы (APT) «Кадетская метель» достигла пика с января по июнь прошлого года, помогая проложить путь для военного вторжения.
Microsoft подробно описала активность в блог. Наиболее заметными среди действий APT были кампания по порче веб-сайтов правительства Украины и стеклоочиститель, известный как «WhisperGate» который был разработан, чтобы сделать компьютерные системы полностью неработоспособными.
Эти атаки «предшествовали многочисленным волнам атак Seashell Blizzard». еще одна русская группа — «Это последовало, когда месяц спустя российские военные начали наземное наступление», — пояснили в Microsoft.
Microsoft связала Cadet Blizzard с российской военной разведкой, ГРУ.
Выявление APT — это шаг к борьбе с киберпреступностью, спонсируемой российским государством, — говорит Тимоти Моррис, главный советник по безопасности в Tanium, — однако всегда важнее сосредоточиться на поведении и тактике, методах и процедурах (TTP), а не только на того, кто атакует».
Поведение и TTP кадетов Blizzard
Как правило, Cadet Blizzard получает первоначальный доступ к целям через общеизвестные уязвимости в веб-серверах с выходом в Интернет, таких как Microsoft Exchange и Атласское слияние. После компрометации сети он перемещается в боковом направлении, собирая учетные данные и повышая привилегии, а также используя веб-оболочки для обеспечения постоянства перед тем, как украсть конфиденциальные организационные данные или развернуть уничтожающее вредоносное ПО.
Группа не различает свои конечные цели, стремясь к «подрыву, уничтожению и сбору информации, используя любые доступные средства и иногда действуя бессистемно», пояснила Microsoft.
Но вместо того, чтобы быть мастером на все руки, Кадет скорее не мастер ни в чем. «Возможно, самое интересное в этом действующем лице, — писала Microsoft об APT, — это его относительно низкий уровень успеха по сравнению с другими аффилированными с ГРУ действующими лицами, такими как Seashell Blizzard [Iridium, Sandworm] и Форрест Близзард (APT28, Fancy Bear, Sofacy, Стронций] ".
Например, по сравнению с Wiper-атаки, приписываемые Seashell Blizzard, WhisperGate Cadet «затронул на порядок меньше систем и оказал сравнительно скромное воздействие, несмотря на то, что был обучен разрушать сети своих противников в Украине», — пояснили в Microsoft. «Недавние кибероперации Cadet Blizzard, хотя иногда и были успешными, также не смогли добиться такого же эффекта, как операции, проведенные ее коллегами из ГРУ».
Принимая все это во внимание, неудивительно, что хакеры также «похоже, действуют с более низкой степенью операционной безопасности, чем у давних и продвинутых российских групп», обнаружила Microsoft.
Чего ожидать от кадетской Blizzard APT
Хотя деятельность Cadet Blizzard сосредоточена на вопросах, связанных с Украиной, она не особо сфокусирована.
Помимо развертывания своего очистителя подписи и порчи правительственных веб-сайтов, группа также управляет форумом по взлому и утечке под названием «Free Civilian». За пределами Украины он атаковал цели в Европе, Центральной Азии и даже Латинской Америке. И помимо государственных учреждений, он часто был нацелен на поставщиков ИТ-услуг и производителей цепочки поставок программного обеспечения, а также на НПО, службы экстренной помощи и правоохранительные органы.
Но хотя в некоторых отношениях у них может быть более грязная работа, Шеррод ДеГриппо, директор по стратегии анализа угроз в Microsoft, предупреждает, что Cadet Blizzard по-прежнему остается грозной APT.
«Их цель — уничтожение, поэтому организациям абсолютно необходимо беспокоиться о них так же, как и о других участниках, и принимать упреждающие меры, такие как включение облачной защиты, проверка активности аутентификации и включение многофакторной аутентификации (MFA) чтобы защититься от них», — говорит она.
Со своей стороны, Моррис рекомендует организациям «начать с основ: строгой аутентификации — MFA,
Ключи FIDO при необходимости — реализовать принцип наименьших привилегий; заплатка, заплатка, заплатка; убедитесь, что ваши элементы управления и инструменты безопасности присутствуют и работают; и часто обучайте пользователей».
- SEO-контент и PR-распределение. Получите усиление сегодня.
- ЭВМ Финанс. Единый интерфейс для децентрализованных финансов. Доступ здесь.
- Квантум Медиа Групп. ИК/PR усиление. Доступ здесь.
- ПлатонАйСтрим. Анализ данных Web3. Расширение знаний. Доступ здесь.
- Источник: https://www.darkreading.com/threat-intelligence/russian-apt-cadet-blizzard-ukraine-wiper-attacks
- :имеет
- :является
- :нет
- :куда
- 14
- 7
- a
- О нас
- абсолютно
- доступ
- Достигать
- действующий
- действия
- деятельность
- актеры
- продвинутый
- советник
- После
- против
- агентствах
- агентство
- Стремясь
- Все
- причислены
- Несмотря на то, что
- всегда
- Америка
- среди
- an
- и
- появиться
- APT
- МЫ
- AS
- Азия
- At
- Атакующий
- нападки
- Аутентификация
- доступен
- Основы
- BE
- медведь
- до
- начал
- за
- не являетесь
- Кроме
- Блог
- by
- под названием
- Кампания
- центр
- центральный
- Центральная Азия
- определенный
- цепь
- главный
- облако
- лыжных шлемов
- обычно
- сравнительно
- сравненный
- полностью
- компромат
- компьютер
- проводятся
- подключенный
- считается
- контрольная
- Полномочия
- кибер-
- киберпреступности
- данным
- Степень
- поставляется
- развертывание
- предназначенный
- Несмотря на
- уничтожить
- подробный
- директор
- Нарушение
- Безразлично
- дело
- в другом месте
- крайняя необходимость
- конец
- принуждение
- обеспечивать
- одинаково
- установить
- Европе
- Даже
- пример
- ожидать
- объяснены
- Oшибка
- Фэшн
- меньше
- борьба
- Фокус
- внимание
- следует
- Что касается
- Форум
- найденный
- Бесплатно
- часто
- от
- Доходы
- цель
- Цели
- Правительство
- земля
- группы
- Группы
- Хакеры
- Сбор урожая
- Есть
- помощь
- его
- Однако
- HTTPS
- идентифицированный
- Влияние
- осуществлять
- важную
- in
- информация
- начальный
- Интеллекта
- интересный
- вторжение
- IT
- ИТ сервис
- ЕГО
- домкрат
- январь
- июнь
- Основные
- ключи
- известный
- Фамилия
- В прошлом году
- новее
- латинский
- Латинская Америка
- закон
- правоохранительной
- наименее
- такое как
- Низкий
- ниже
- вредоносных программ
- Производители
- мастер
- Вопросы
- Май..
- означает
- меры
- МИД
- Microsoft
- военный
- скромный
- Месяц
- БОЛЕЕ
- самых
- движется
- многофакторная аутентификация
- с разными
- Необходимость
- сеть
- сетей
- НПО
- нет
- примечательный
- of
- наступление
- .
- on
- работать
- работает
- операция
- оперативный
- Операционный отдел
- оппонентами
- or
- заказ
- организационной
- организации
- Другое
- внешнюю
- часть
- особенно
- Патчи
- вымостить
- возможно
- настойчивость
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- играл
- представить
- принцип
- привилегия
- привилегии
- Проактивная
- Процедуры
- для защиты
- поставщики
- Обменный курс
- скорее
- последний
- рекомендует
- Связанный
- относительно
- обзор
- Роли
- Россия
- русский
- s
- говорит
- безопасность
- чувствительный
- Серверы
- обслуживание
- поставщики услуг
- Услуги
- она
- Аналогичным образом
- So
- Software
- только
- Начало
- Шаг
- По-прежнему
- Стратегия
- сильный
- успех
- успешный
- поставка
- цепочками поставок
- сюрприз
- системы
- тактика
- взять
- целевое
- направлена против
- снижения вреда
- чем
- который
- Ассоциация
- Основы
- их
- Их
- они
- этой
- те
- угроза
- Через
- в
- инструменты
- к
- торги
- Train
- специалистов
- Поворот
- Украина
- украинский
- на
- пользователей
- через
- Уязвимости
- предупреждает
- законопроект
- волны
- Путь..
- способы
- Web
- веб-сайты
- ЧТО Ж
- были
- Что
- любой
- когда
- в то время как
- КТО
- работает
- беспокоиться
- бы
- год
- ВАШЕ
- зефирнет