Російський APT «Cadet Blizzard» стоїть за атаками Wiper на Україну

14 червня було ідентифіковано загрозливого суб’єкта, який відіграв ключову роль у підготовці до російського вторгнення в Україну. Активність передової стійкої загрози (APT) «Cadet Blizzard» досягла піку з січня по червень минулого року, допомагаючи прокласти шлях для військового вторгнення.

Microsoft детально описує діяльність у блог. Найпомітнішими серед дій APT були кампанія зі зневаження українських урядових веб-сайтів склоочисник, відомий як «WhisperGate» який був розроблений, щоб зробити комп’ютерні системи повністю непрацездатними.

Ці атаки «передували численним хвилям атак Seashell Blizzard» — інша російська група — «що відбулося, коли російські військові почали свій наземний наступ через місяць», — пояснила Microsoft.

Microsoft пов’язала Cadet Blizzard з російською військовою розвідкою ГРУ.

Виявлення APT є кроком у боротьбі з кіберзлочинністю, яка спонсорується російською державою, каже Тімоті Морріс, головний радник з безпеки Tanium, «проте завжди важливіше зосереджуватися на поведінці та тактиці, техніці та процедурах (TTP), а не лише на те, хто атакує».

Поведінка Cadet Blizzard і TTP

Як правило, Cadet Blizzard отримує початковий доступ до цілей через загальновідомі вразливості в Інтернет-серверах, таких як Microsoft біржа та Атласівське злиття. Після скомпрометації мережі вона переміщується вбік, збираючи облікові дані та підвищуючи привілеї, а також використовуючи веб-оболонки для встановлення стійкості перед крадіжкою конфіденційних організаційних даних або розгортанням зловмисного програмного забезпечення.

Група не проводить дискримінації у своїх кінцевих цілях, прагнучи до «розриву, знищення та збору інформації, використовуючи будь-які доступні засоби та іноді діючи безсистемно», — пояснила Microsoft.

Але замість того, щоб бути майстром на всі руки, Cadet більше схожий на те, що не є майстром. «Що, мабуть, найцікавіше в цьому акторі, — писала Microsoft про APT, — це його відносно низький рівень успішності порівняно з іншими акторами, пов’язаними з ГРУ, такими як Seashell Blizzard [Iridium, Sandworm] і Forrest Blizzard (APT28, Fancy Bear, Sofacy, Strontium]. "

Наприклад, порівняно з атаки склоочисників, пов’язані з Seashell Blizzard, WhisperGate від Cadet «вплинув на порядок менше систем і забезпечив порівняно скромний вплив, незважаючи на те, що був навчений знищувати мережі своїх опонентів в Україні», – пояснила Microsoft. «Нещодавні кібероперації Cadet Blizzard, хоча інколи були успішними, так само не досягли ефекту, ніж ті, які проводилися його колегами з ГРУ».

Зважаючи на все це, не дивно, що хакери також «здається, працюють із нижчим ступенем безпеки, ніж у давніх і передових російських груп», виявила Microsoft.

Чого очікувати від Cadet Blizzard APT

Незважаючи на те, що діяльність Cadet Blizzard зосереджена на питаннях, пов’язаних з Україною, вона не має особливої ​​уваги.

Окрім розгортання свого стирання сигнатур і псування урядових веб-сайтів, група також керує форумом для злому та витоку під назвою «Free Civilian». За межами України він атакував цілі в інших країнах Європи, Центральної Азії та навіть Латинської Америки. Крім державних установ, він часто був націлений на постачальників ІТ-послуг і виробників ланцюгів постачання програмного забезпечення, а також на неурядові організації, екстрені служби та правоохоронні органи.

Але хоча в певному сенсі вони можуть мати більш складну роботу, Шеррод ДеГріппо, директор стратегії аналізу загроз у Microsoft, попереджає, що Cadet Blizzard все ще є страшним APT.

«Їхня мета — знищення, тому організаціям абсолютно необхідно турбуватися про них так само, як і про інших учасників, і вживати профілактичних заходів, таких як увімкнення хмарного захисту, перевірка активності автентифікації та увімкнення багатофакторної автентифікації (MFA) щоб захиститися від них», – каже вона.

Зі свого боку Морріс рекомендує організаціям «почати з основ: сильна автентифікація — MFA,

Ключі FIDO, де це необхідно — реалізувати принцип найменших привілеїв; латати, латати, латати; переконайтеся, що засоби безпеки та інструменти присутні та працюють; і часто навчайте користувачів».

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• EVM Фінанси. Уніфікований інтерфейс для децентралізованих фінансів. Доступ тут.
• Quantum Media Group. ІЧ/ПР посилений. Доступ тут.
• PlatoAiStream. Web3 Data Intelligence. Розширення знань. Доступ тут.
• джерело: https://www.darkreading.com/threat-intelligence/russian-apt-cadet-blizzard-ukraine-wiper-attacks