Ukrayna Wiper Saldırılarının Arkasında Rus APT 'Cadet Blizzard'

Rusya'nın Ukrayna'yı işgaline giden yolda kilit rol oynayan bir tehdit aktörü, 14 Haziran'da belirlendi. "Cadet Blizzard" gelişmiş kalıcı tehdidinin (APT) etkinliği, geçen yılın Ocak-Haziran ayları arasında zirveye ulaştı ve önünün açılmasına yardımcı oldu. askeri işgal için

Microsoft etkinliği şurada ayrıntılı olarak açıkladı: Bir blog yazısı. APT'nin eylemleri arasında en dikkate değer olanı, Ukrayna hükümetinin web sitelerini tahrif etmeye yönelik bir kampanyaydı ve "WhisperGate" olarak bilinen bir silici bilgisayar sistemlerini tamamen çalışmaz hale getirmek için tasarlanmıştır.

Bu saldırılar "Seashell Blizzard'ın birden çok saldırı dalgasının habercisiydi" — başka bir Rus grubu Microsoft, “Rus ordusu bir ay sonra kara saldırısına başladığında bunu takip etti” dedi.

Microsoft, Cadet Blizzard'ı Rusya'nın askeri istihbarat teşkilatı GRU ile ilişkilendirdi.

Tanium baş güvenlik danışmanı Timothy Morris, APT'yi belirlemenin Rus devlet destekli siber suçla mücadeleye yönelik bir adım olduğunu söylüyor, "ancak yalnızca davranışlara ve taktiklere, tekniklere ve prosedürlere (TTP'ler) odaklanmak her zaman daha önemlidir. saldırıyı kimin yaptığına bağlı.”

Cadet Blizzard'ın Davranışları ve TTP'leri

Genel olarak, Cadet Blizzard, hedeflere ilk erişimi, İnternet'e yönelik Web sunucularındaki yaygın olarak bilinen güvenlik açıkları aracılığıyla elde eder. microsoft Değişim ve Atlassian izdiham. Bir ağdan taviz verdikten sonra yanal olarak hareket eder, kimlik bilgilerini toplar, ayrıcalıkları yükseltir ve hassas kurumsal verileri çalmadan veya kötü amaçlı yazılımları dağıtmadan önce kalıcılık sağlamak için Web kabuklarını kullanır.

Microsoft, grubun nihai hedeflerinde ayrımcılık yapmadığını, "mevcut olan her türlü yöntemi kullanarak ve bazen gelişigüzel hareket ederek kesinti, yıkım ve bilgi toplamayı" amaçladığını açıkladı.

Ancak Cadet, her işte uzman olmaktansa, hiçbir işte usta değildir. Microsoft, APT hakkında "Bu aktör hakkında belki de en ilginç olan şey, Seashell Blizzard [Iridium, Sandworm] ve Forrest Blizzard (APT28, Süslü Ayı, Koltuk, Stronsiyum].”

Örneğin, karşılaştırıldığında Seashell Blizzard'a atfedilen silici saldırıları, Cadet'in WhisperGate'i "Ukrayna'daki rakiplerinin ağlarını yok etmek için eğitilmiş olmasına rağmen, çok daha az sistemi etkiledi ve nispeten mütevazı bir etki sağladı" diye açıkladı Microsoft. "Daha yeni Cadet Blizzard siber operasyonları, zaman zaman başarılı olsa da, benzer şekilde GRU muadilleri tarafından yürütülenlerin etkisini elde edemedi."

Tüm bunlar göz önüne alındığında, bilgisayar korsanlarının "uzun süredir devam eden ve gelişmiş Rus gruplarından daha düşük bir operasyonel güvenlikle çalıştıkları" Microsoft'a göre şaşırtıcı değil.

Cadet Blizzard APT'den Ne Beklenmeli?

Cadet Blizzard operasyonları, Ukrayna ile ilgili konulara odaklanmış olsa da, özellikle odaklanmamıştır.

Grup, imza silicisini konuşlandırmanın ve hükümet web sitelerini tahrif etmenin yanı sıra, "Özgür Sivil" adlı bir hack-and-leak forumu da yürütüyor. Ukrayna dışında Avrupa, Orta Asya ve hatta Latin Amerika'daki hedeflere saldırdı. Devlet kurumlarının yanı sıra, genellikle BT hizmet sağlayıcıları ve yazılım tedarik zinciri üreticilerinin yanı sıra STK'ları, acil servisleri ve kolluk kuvvetlerini hedef aldı.

Ancak Microsoft'ta tehdit istihbaratı stratejisi yöneticisi Sherrod DeGrippo, bazı yönlerden daha karmaşık bir operasyona sahip olsalar da, Cadet Blizzard'ın hâlâ korkunç bir APT olduğu konusunda uyarıyor.

"Hedefleri yok etmek, bu nedenle kuruluşların kesinlikle diğer aktörler kadar endişe duymaları ve bulut korumalarını etkinleştirmek, kimlik doğrulama etkinliğini gözden geçirmek ve çok faktörlü kimlik doğrulamayı (MFA) etkinleştirme onlara karşı korumak için” diyor.

Morris, kuruluşların "temellerle başlamasını" tavsiye ediyor: güçlü kimlik doğrulama - MFA,

Gerektiğinde FIDO anahtarları — en az ayrıcalık ilkesini uygulamak; yama, yama, yama; güvenlik kontrollerinizin ve araçlarınızın mevcut ve çalışır durumda olduğundan emin olun; ve kullanıcıları sık sık eğitin.”

• SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
• EVM Finans. Merkezi Olmayan Finans için Birleşik Arayüz. Buradan Erişin.
• Kuantum Medya Grubu. IR/PR Güçlendirilmiş. Buradan Erişin.
• PlatoAiStream. Web3 Veri Zekası. Bilgi Genişletildi. Buradan Erişin.
• Kaynak: https://www.darkreading.com/threat-intelligence/russian-apt-cadet-blizzard-ukraine-wiper-attacks