Российский APT «Cadet Blizzard» стоит за атаками Wiper на Украине

14 июня был выявлен субъект угрозы, сыгравший ключевую роль в подготовке к российскому вторжению в Украину. Активность продвинутой постоянной угрозы (APT) «Кадетская метель» достигла пика с января по июнь прошлого года, помогая проложить путь для военного вторжения.

Microsoft подробно описала активность в блог. Наиболее заметными среди действий APT были кампания по порче веб-сайтов правительства Украины и стеклоочиститель, известный как «WhisperGate» который был разработан, чтобы сделать компьютерные системы полностью неработоспособными.

Эти атаки «предшествовали многочисленным волнам атак Seashell Blizzard». еще одна русская группа — «Это последовало, когда месяц спустя российские военные начали наземное наступление», — пояснили в Microsoft.

Microsoft связала Cadet Blizzard с российской военной разведкой, ГРУ.

Выявление APT — это шаг к борьбе с киберпреступностью, спонсируемой российским государством, — говорит Тимоти Моррис, главный советник по безопасности в Tanium, — однако всегда важнее сосредоточиться на поведении и тактике, методах и процедурах (TTP), а не только на того, кто атакует».

Поведение и TTP кадетов Blizzard

Как правило, Cadet Blizzard получает первоначальный доступ к целям через общеизвестные уязвимости в веб-серверах с выходом в Интернет, таких как Microsoft Exchange и Атласское слияние. После компрометации сети он перемещается в боковом направлении, собирая учетные данные и повышая привилегии, а также используя веб-оболочки для обеспечения постоянства перед тем, как украсть конфиденциальные организационные данные или развернуть уничтожающее вредоносное ПО.

Группа не различает свои конечные цели, стремясь к «подрыву, уничтожению и сбору информации, используя любые доступные средства и иногда действуя бессистемно», пояснила Microsoft.

Но вместо того, чтобы быть мастером на все руки, Кадет скорее не мастер ни в чем. «Возможно, самое интересное в этом действующем лице, — писала Microsoft об APT, — это его относительно низкий уровень успеха по сравнению с другими аффилированными с ГРУ действующими лицами, такими как Seashell Blizzard [Iridium, Sandworm] и Форрест Близзард (APT28, Fancy Bear, Sofacy, Стронций] ".

Например, по сравнению с Wiper-атаки, приписываемые Seashell Blizzard, WhisperGate Cadet «затронул на порядок меньше систем и оказал сравнительно скромное воздействие, несмотря на то, что был обучен разрушать сети своих противников в Украине», — пояснили в Microsoft. «Недавние кибероперации Cadet Blizzard, хотя иногда и были успешными, также не смогли добиться такого же эффекта, как операции, проведенные ее коллегами из ГРУ».

Принимая все это во внимание, неудивительно, что хакеры также «похоже, действуют с более низкой степенью операционной безопасности, чем у давних и продвинутых российских групп», обнаружила Microsoft.

Чего ожидать от кадетской Blizzard APT

Хотя деятельность Cadet Blizzard сосредоточена на вопросах, связанных с Украиной, она не особо сфокусирована.

Помимо развертывания своего очистителя подписи и порчи правительственных веб-сайтов, группа также управляет форумом по взлому и утечке под названием «Free Civilian». За пределами Украины он атаковал цели в Европе, Центральной Азии и даже Латинской Америке. И помимо государственных учреждений, он часто был нацелен на поставщиков ИТ-услуг и производителей цепочки поставок программного обеспечения, а также на НПО, службы экстренной помощи и правоохранительные органы.

Но хотя в некоторых отношениях у них может быть более грязная работа, Шеррод ДеГриппо, директор по стратегии анализа угроз в Microsoft, предупреждает, что Cadet Blizzard по-прежнему остается грозной APT.

«Их цель — уничтожение, поэтому организациям абсолютно необходимо беспокоиться о них так же, как и о других участниках, и принимать упреждающие меры, такие как включение облачной защиты, проверка активности аутентификации и включение многофакторной аутентификации (MFA) чтобы защититься от них», — говорит она.

Со своей стороны, Моррис рекомендует организациям «начать с основ: строгой аутентификации — MFA,

Ключи FIDO при необходимости — реализовать принцип наименьших привилегий; заплатка, заплатка, заплатка; убедитесь, что ваши элементы управления и инструменты безопасности присутствуют и работают; и часто обучайте пользователей».

• SEO-контент и PR-распределение. Получите усиление сегодня.
• ЭВМ Финанс. Единый интерфейс для децентрализованных финансов. Доступ здесь.
• Квантум Медиа Групп. ИК/PR усиление. Доступ здесь.
• ПлатонАйСтрим. Анализ данных Web3. Расширение знаний. Доступ здесь.
• Источник: https://www.darkreading.com/threat-intelligence/russian-apt-cadet-blizzard-ukraine-wiper-attacks