14 червня було ідентифіковано загрозливого суб’єкта, який відіграв ключову роль у підготовці до російського вторгнення в Україну. Активність передової стійкої загрози (APT) «Cadet Blizzard» досягла піку з січня по червень минулого року, допомагаючи прокласти шлях для військового вторгнення.
Microsoft детально описує діяльність у блог. Найпомітнішими серед дій APT були кампанія зі зневаження українських урядових веб-сайтів склоочисник, відомий як «WhisperGate» який був розроблений, щоб зробити комп’ютерні системи повністю непрацездатними.
Ці атаки «передували численним хвилям атак Seashell Blizzard» — інша російська група — «що відбулося, коли російські військові почали свій наземний наступ через місяць», — пояснила Microsoft.
Microsoft пов’язала Cadet Blizzard з російською військовою розвідкою ГРУ.
Виявлення APT є кроком у боротьбі з кіберзлочинністю, яка спонсорується російською державою, каже Тімоті Морріс, головний радник з безпеки Tanium, «проте завжди важливіше зосереджуватися на поведінці та тактиці, техніці та процедурах (TTP), а не лише на те, хто атакує».
Поведінка Cadet Blizzard і TTP
Як правило, Cadet Blizzard отримує початковий доступ до цілей через загальновідомі вразливості в Інтернет-серверах, таких як Microsoft біржа та Атласівське злиття. Після скомпрометації мережі вона переміщується вбік, збираючи облікові дані та підвищуючи привілеї, а також використовуючи веб-оболонки для встановлення стійкості перед крадіжкою конфіденційних організаційних даних або розгортанням зловмисного програмного забезпечення.
Група не проводить дискримінації у своїх кінцевих цілях, прагнучи до «розриву, знищення та збору інформації, використовуючи будь-які доступні засоби та іноді діючи безсистемно», — пояснила Microsoft.
Але замість того, щоб бути майстром на всі руки, Cadet більше схожий на те, що не є майстром. «Що, мабуть, найцікавіше в цьому акторі, — писала Microsoft про APT, — це його відносно низький рівень успішності порівняно з іншими акторами, пов’язаними з ГРУ, такими як Seashell Blizzard [Iridium, Sandworm] і Forrest Blizzard (APT28, Fancy Bear, Sofacy, Strontium]. "
Наприклад, порівняно з атаки склоочисників, пов’язані з Seashell Blizzard, WhisperGate від Cadet «вплинув на порядок менше систем і забезпечив порівняно скромний вплив, незважаючи на те, що був навчений знищувати мережі своїх опонентів в Україні», – пояснила Microsoft. «Нещодавні кібероперації Cadet Blizzard, хоча інколи були успішними, так само не досягли ефекту, ніж ті, які проводилися його колегами з ГРУ».
Зважаючи на все це, не дивно, що хакери також «здається, працюють із нижчим ступенем безпеки, ніж у давніх і передових російських груп», виявила Microsoft.
Чого очікувати від Cadet Blizzard APT
Незважаючи на те, що діяльність Cadet Blizzard зосереджена на питаннях, пов’язаних з Україною, вона не має особливої уваги.
Окрім розгортання свого стирання сигнатур і псування урядових веб-сайтів, група також керує форумом для злому та витоку під назвою «Free Civilian». За межами України він атакував цілі в інших країнах Європи, Центральної Азії та навіть Латинської Америки. Крім державних установ, він часто був націлений на постачальників ІТ-послуг і виробників ланцюгів постачання програмного забезпечення, а також на неурядові організації, екстрені служби та правоохоронні органи.
Але хоча в певному сенсі вони можуть мати більш складну роботу, Шеррод ДеГріппо, директор стратегії аналізу загроз у Microsoft, попереджає, що Cadet Blizzard все ще є страшним APT.
«Їхня мета — знищення, тому організаціям абсолютно необхідно турбуватися про них так само, як і про інших учасників, і вживати профілактичних заходів, таких як увімкнення хмарного захисту, перевірка активності автентифікації та увімкнення багатофакторної автентифікації (MFA) щоб захиститися від них», – каже вона.
Зі свого боку Морріс рекомендує організаціям «почати з основ: сильна автентифікація — MFA,
Ключі FIDO, де це необхідно — реалізувати принцип найменших привілеїв; латати, латати, латати; переконайтеся, що засоби безпеки та інструменти присутні та працюють; і часто навчайте користувачів».
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- EVM Фінанси. Уніфікований інтерфейс для децентралізованих фінансів. Доступ тут.
- Quantum Media Group. ІЧ/ПР посилений. Доступ тут.
- PlatoAiStream. Web3 Data Intelligence. Розширення знань. Доступ тут.
- джерело: https://www.darkreading.com/threat-intelligence/russian-apt-cadet-blizzard-ukraine-wiper-attacks
- : має
- :є
- : ні
- :де
- 14
- 7
- a
- МЕНЮ
- абсолютно
- доступ
- Achieve
- діючий
- дії
- діяльність
- актори
- просунутий
- радник
- після
- проти
- агентства
- агентство
- прицілювання
- ВСІ
- Також
- хоча
- завжди
- Америка
- серед
- an
- та
- з'являтися
- APT
- ЕСТЬ
- AS
- Азія
- At
- Атакуючий
- нападки
- Authentication
- доступний
- Основи
- BE
- ведмідь
- перед тим
- почалася
- за
- буття
- крім
- Блог
- by
- званий
- Кампанія
- центр
- центральний
- центральна Азія
- певний
- ланцюг
- головний
- хмара
- збір
- зазвичай
- порівняльно
- порівняний
- повністю
- компрометуючі
- комп'ютер
- проводиться
- підключений
- вважається
- управління
- Повноваження
- кібер-
- кіберзлочинності
- дані
- Ступінь
- поставляється
- розгортання
- призначений
- Незважаючи на
- знищити
- докладно
- Директор
- Зрив
- байдуже
- справи
- в іншому місці
- аварійний
- кінець
- примус
- забезпечувати
- однаково
- встановити
- Європа
- Навіть
- приклад
- очікувати
- пояснені
- не вдалося
- мода
- менше
- боротьба
- Сфокусувати
- увагу
- потім
- для
- форум
- знайдений
- Безкоштовна
- часто
- від
- прибуток
- мета
- Цілі
- Уряд
- Земля
- Group
- Групи
- хакери
- збирання врожаю
- Мати
- допомогу
- його
- Однак
- HTTPS
- ідентифікований
- Impact
- здійснювати
- важливо
- in
- інформація
- початковий
- Інтелект
- цікавий
- вторгнення
- IT
- IT service
- ЙОГО
- роз'єм
- січня
- червень
- ключ
- ключі
- відомий
- останній
- Минулого року
- пізніше
- Latin
- Латинська Америка
- закон
- правозастосування
- найменш
- як
- низький
- знизити
- шкідливих програм
- Виробники
- майстер
- Питання
- Може..
- засоби
- заходи
- МЗС
- Microsoft
- військовий
- скромний
- місяць
- більше
- найбільш
- рухається
- багатофакторна аутентифікація
- множинний
- Необхідність
- мережу
- мереж
- НВО
- немає
- Помітний
- of
- наступ
- часто
- on
- працювати
- працює
- операція
- оперативний
- операції
- опонентами
- or
- порядок
- організаційної
- організації
- Інше
- поза
- частина
- особливо
- пластир
- прокладати
- може бути
- наполегливість
- plato
- Інформація про дані Платона
- PlatoData
- грав
- представити
- принцип
- привілей
- привілеї
- Проактивний
- Процедури
- захист
- провайдери
- ставка
- швидше
- останній
- рекомендує
- пов'язаний
- щодо
- рецензування
- Роль
- Росія
- російський
- s
- говорить
- безпеку
- чутливий
- Сервери
- обслуговування
- постачальники послуг
- Послуги
- вона
- Аналогічно
- So
- Софтвер
- виключно
- старт
- Крок
- Як і раніше
- Стратегія
- сильний
- успіх
- успішний
- поставка
- ланцюжка поставок
- сюрприз
- Systems
- тактика
- Приймати
- цільове
- цілі
- методи
- ніж
- Що
- Команда
- Основи
- їх
- Їх
- вони
- це
- ті
- загроза
- через
- до
- інструменти
- до
- торги
- поїзд
- навчений
- Поворот
- Ukraine
- УКРАЇНСЬКА
- на
- користувачі
- використання
- Уразливості
- Попереджає
- було
- хвилі
- шлях..
- способи
- Web
- веб-сайти
- ДОБРЕ
- були
- Що
- будь
- коли
- в той час як
- ВООЗ
- з
- робочий
- хвилювалися
- б
- рік
- вашу
- зефірнет