En hotaktör som spelade en nyckelroll i upptakten till den ryska invasionen av Ukraina identifierades den 14 juni. Aktiviteten från "Cadet Blizzard" avancerade ihållande hot (APT) nådde sin topp från januari till juni förra året, vilket bidrog till att bana väg för militär invasion.
Microsoft beskrev aktiviteten i ett blogginlägg. Mest anmärkningsvärt bland APT:s åtgärder var en kampanj för att förstöra ukrainska myndigheters webbplatser, och en torkare känd som "WhisperGate" som utformades för att göra datorsystem helt obrukbara.
Dessa attacker "förled flera vågor av attacker från Seashell Blizzard" - en annan rysk grupp — "det följde när den ryska militären började sin markoffensiv en månad senare", förklarade Microsoft.
Microsoft kopplade Cadet Blizzard med Rysslands militära underrättelsetjänst, GRU.
Att identifiera APT är ett steg mot att bekämpa rysk statssponsrad cyberbrottslighet, säger Timothy Morris, chefssäkerhetsrådgivare på Tanium, "det är dock alltid viktigare att fokusera på beteenden och taktik, tekniker och procedurer (TTP) och inte bara på vem som attackerar."
Cadet Blizzards beteenden och TTP:er
I allmänhet får Cadet Blizzard initial åtkomst till mål genom allmänt kända sårbarheter i webbservrar som vetter mot Internet som t.ex. Microsoft Exchange och Atlassian Confluence. Efter att ha äventyrat ett nätverk rör sig det i sidled, samlar in autentiseringsuppgifter och eskalerar privilegier och använder webbskal för att etablera persistens innan det stjäl känslig organisationsdata eller distribuerar utrotande skadlig programvara.
Gruppen diskriminerar inte i sina slutmål och strävar efter "avbrott, förstörelse och informationsinsamling, med hjälp av vilka medel som helst som finns tillgängliga och ibland agerar på ett slumpartat sätt", förklarade Microsoft.
Men snarare än att vara en jack of all trades, är Cadet mer som en mästare på ingen. "Det som kanske är mest intressant med den här skådespelaren," skrev Microsoft om APT, "är dess relativt låga framgångsfrekvens jämfört med andra GRU-anslutna skådespelare som Seashell Blizzard [Iridium, Sandworm] och Forrest Blizzard (APT28, Fancy Bear, Sofacy, Strontium].”
Till exempel jämfört med wiperattacker tillskrivna Seashell Blizzard, Cadets WhisperGate "påverkade en storleksordning färre system och gav en jämförelsevis blygsam effekt, trots att de tränats för att förstöra nätverken för sina motståndare i Ukraina", förklarade Microsoft. "De senaste Cadet Blizzards cyberoperationer, även om de ibland lyckades, lyckades inte på samma sätt uppnå effekten av de som utfördes av dess GRU-motsvarigheter."
Allt detta med tanke på är det ingen överraskning att hackarna också "tycks fungera med en lägre grad av operativ säkerhet än den för långvariga och avancerade ryska grupper", fann Microsoft.
Vad du kan förvänta dig av Cadet Blizzard APT
Även om Cadet Blizzard-verksamheten är inriktad på frågor relaterade till Ukraina, är den inte särskilt fokuserad.
Förutom att distribuera sin signaturtorkare och förstöra statliga webbplatser, driver gruppen också ett hack-and-leak-forum som heter "Free Civilian." Utanför Ukraina har den attackerat mål på andra håll i Europa, Centralasien och till och med Latinamerika. Och förutom statliga myndigheter riktade det sig ofta till IT-tjänsteleverantörer och tillverkare av mjukvaruförsörjningskedjor, såväl som icke-statliga organisationer, räddningstjänster och brottsbekämpning.
Men även om de kan ha en stökigare operation på vissa sätt, varnar Sherrod DeGrippo, chef för hotintelligensstrategi på Microsoft, för att Cadet Blizzard fortfarande är en skräckinjagande APT.
"Deras mål är förstörelse, så organisationer måste absolut vara lika oroliga för dem, som de skulle göra för andra aktörer, och vidta proaktiva åtgärder som att slå på molnskydd, granska autentiseringsaktivitet och möjliggör multifaktorautentisering (MFA) för att skydda sig mot dem”, säger hon.
För sin del rekommenderar Morris att organisationer "börjar med grunderna: stark autentisering - MFA,
FIDO-nycklar vid behov — Genomföra principen om minsta privilegium. lapp, lapp, lapp; se till att dina säkerhetskontroller och verktyg är närvarande och fungerar; och utbilda användare ofta.”
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- EVM Finans. Unified Interface for Decentralized Finance. Tillgång här.
- Quantum Media Group. IR/PR förstärkt. Tillgång här.
- PlatoAiStream. Web3 Data Intelligence. Kunskap förstärkt. Tillgång här.
- Källa: https://www.darkreading.com/threat-intelligence/russian-apt-cadet-blizzard-ukraine-wiper-attacks
- : har
- :är
- :inte
- :var
- 14
- 7
- a
- Om Oss
- absolut
- tillgång
- Uppnå
- verkande
- åtgärder
- aktivitet
- aktörer
- avancerat
- rådgivare
- Efter
- mot
- byråer
- byrå
- sikta
- Alla
- också
- Även
- alltid
- amerika
- bland
- an
- och
- visas
- APT
- ÄR
- AS
- asien
- At
- Anfall
- Attacker
- Autentisering
- tillgänglig
- Grunderna
- BE
- Bear
- innan
- började
- bakom
- Där vi får lov att vara utan att konstant prestera,
- förutom
- Blogg
- by
- kallas
- Kampanj
- centrerad
- centrala
- Centralasien
- vissa
- kedja
- chef
- cloud
- samling
- vanligen
- jämförelsevis
- jämfört
- fullständigt
- komprometterande
- dator
- genomfördes
- anslutna
- anses
- kontroller
- referenser
- cyber
- cyberbrottslighet
- datum
- Examen
- levereras
- utplacera
- utformade
- Trots
- förstöra
- detaljerad
- Direktör
- Störningar
- doesn
- gör
- annorstädes
- nödsituation
- änden
- tillämpning
- säkerställa
- lika
- etablera
- Europa
- Även
- exempel
- förvänta
- förklarade
- Misslyckades
- Mode
- färre
- bekämpa
- Fokus
- fokuserade
- följt
- För
- Forum
- hittade
- Fri
- ofta
- från
- resultat
- Målet
- Mål
- Regeringen
- Marken
- Grupp
- Gruppens
- hackare
- skörd
- Har
- hjälpa
- hans
- Men
- HTTPS
- identifierade
- Inverkan
- genomföra
- med Esport
- in
- informationen
- inledande
- Intelligens
- intressant
- invasion
- IT
- IT-tjänst
- DESS
- domkraften
- Januari
- juni
- Nyckel
- nycklar
- känd
- Efternamn
- Förra året
- senare
- latin
- latinamerika
- Lag
- brottsbekämpning
- t minst
- tycka om
- Låg
- lägre
- malware
- Tillverkare
- Master
- Betyder Något
- Maj..
- betyder
- åtgärder
- UD
- Microsoft
- Militär
- blygsam
- Månad
- mer
- mest
- förflyttar
- multifaktor-autentisering
- multipel
- Behöver
- nät
- nätverk
- Frivilligorganisationer
- Nej
- anmärkningsvärd
- of
- offensiv
- Ofta
- on
- driva
- fungerar
- drift
- operativa
- Verksamhet
- motståndare
- or
- beställa
- organisatoriska
- organisationer
- Övriga
- utanför
- del
- särskilt
- Lappa
- bana
- kanske
- persistens
- plato
- Platon Data Intelligence
- PlatonData
- spelat
- presentera
- Principen
- privilegium
- privilegier
- Proaktiv
- förfaranden
- skydda
- leverantörer
- Betygsätta
- snarare
- senaste
- rekommenderar
- relaterad
- relativt
- reviewing
- Roll
- Ryssland
- ryska
- s
- säger
- säkerhet
- känslig
- Servrar
- service
- tjänsteleverantörer
- Tjänster
- hon
- Liknande
- So
- Mjukvara
- enbart
- starta
- Steg
- Fortfarande
- Strategi
- stark
- framgång
- framgångsrik
- leverera
- leveranskedjan
- överraskning
- System
- taktik
- Ta
- riktade
- mål
- tekniker
- än
- den där
- Smakämnen
- Grunderna
- deras
- Dem
- de
- detta
- de
- hot
- Genom
- till
- verktyg
- mot
- handel
- Tåg
- tränad
- Vrida
- Ukraina
- ukrainska
- på
- användare
- med hjälp av
- sårbarheter
- varnar
- var
- vågor
- Sätt..
- sätt
- webb
- webbsidor
- VÄL
- były
- Vad
- oberoende
- när
- medan
- VEM
- med
- arbetssätt
- orolig
- skulle
- år
- Din
- zephyrnet
