Rusya’nın Ukrayna’yı işgaline giden yolda kilit rol oynayan bir tehdit aktörü, 14 Haziran’da belirlendi. “Cadet Blizzard” gelişmiş kalıcı tehdidinin (APT) etkinliği, geçen yılın Ocak-Haziran ayları arasında zirveye ulaşarak, önünün açılmasına yardımcı oldu. askeri işgal için
Microsoft etkinliği şurada ayrıntılı olarak açıkladı: bir blog yazısı. APT’nin eylemleri arasında en dikkate değer olanı, Ukrayna hükümetinin web sitelerini tahrif etmeye yönelik bir kampanya ve bilgisayar sistemlerini tamamen çalışmaz hale getirmek için tasarlanmış “WhisperGate” olarak bilinen bir siliciydi.
Microsoft, bu saldırıların “bir başka Rus grubu olan Seashell Blizzard tarafından gerçekleştirilen çok sayıda saldırı dalgasının öncüsü olduğunu” ve bunun ardından “Rus ordusunun bir ay sonra kara saldırısına başlamasının ardından geldiğini” açıkladı.
Microsoft, Cadet Blizzard’ı Rusya’nın askeri istihbarat teşkilatı GRU ile ilişkilendirdi.
Tanium’un baş güvenlik danışmanı Timothy Morris, APT’yi tanımlamanın Rus devlet destekli siber suçla mücadeleye yönelik bir adım olduğunu söylüyor, “ancak yalnızca davranışlara ve taktiklere, tekniklere ve prosedürlere (TTP’ler) odaklanmak her zaman daha önemlidir. saldırıyı kimin yaptığına bağlı.”
Cadet Blizzard’ın Davranışları ve TTP’leri
Genel olarak, Cadet Blizzard, Microsoft Exchange ve Atlassian Confluence gibi İnternet’e yönelik Web sunucularındaki yaygın olarak bilinen güvenlik açıkları aracılığıyla hedeflere ilk erişim sağlar. Bir ağdan taviz verdikten sonra yanal olarak hareket eder, kimlik bilgilerini toplar, ayrıcalıkları yükseltir ve hassas kurumsal verileri çalmadan veya kötü amaçlı yazılımları dağıtmadan önce kalıcılık sağlamak için Web kabuklarını kullanır.
Microsoft, grubun “mevcut olan her türlü aracı kullanarak ve bazen gelişigüzel bir şekilde hareket ederek kesinti, yıkım ve bilgi toplamayı” hedefleyerek nihai hedeflerinde ayrımcılık yapmadığını açıkladı.
Ancak Cadet, her işte uzman olmaktansa, hiçbir işte usta değildir. Microsoft, APT hakkında “Bu aktör hakkında belki de en ilginç olan şey, Seashell Blizzard gibi diğer GRU bağlantılı aktörlerle karşılaştırıldığında nispeten düşük başarı oranıdır” diye yazdı. [Iridium, Sandworm] ve Forrest Blizzard (APT28, Fancy Bear, Sofacy, Strontium].”
Microsoft, örneğin, Seashell Blizzard’a atfedilen silici saldırılarla karşılaştırıldığında, Cadet’in WhisperGate’i “Ukrayna’daki rakiplerinin ağlarını yok etmek için eğitilmiş olmasına rağmen, çok daha az sistemi etkiledi ve nispeten mütevazı bir etki sağladı” diye açıkladı. “Daha yeni Cadet Blizzard siber operasyonları, zaman zaman başarılı olsa da, benzer şekilde GRU muadilleri tarafından yürütülenlerin etkisini elde edemedi.”
Microsoft, tüm bunlar göz önüne alındığında, bilgisayar korsanlarının “uzun süredir devam eden ve gelişmiş Rus gruplarından daha düşük bir operasyonel güvenlikle çalışıyor gibi görünmesi” şaşırtıcı değil.
Cadet Blizzard APT’den Ne Beklenmeli?
Cadet Blizzard operasyonları, Ukrayna ile ilgili konulara odaklanmış olsa da, özellikle odaklanmamıştır.
Grup, imza silicisini konuşlandırmanın ve devlet web sitelerini tahrif etmenin yanı sıra, “Özgür Sivil” adlı bir hack-and-leak forumu da yürütüyor. Ukrayna dışında Avrupa, Orta Asya ve hatta Latin Amerika’daki hedeflere saldırdı. Devlet kurumlarının yanı sıra, genellikle BT hizmet sağlayıcıları ve yazılım tedarik zinciri üreticilerinin yanı sıra STK’ları, acil servisleri ve kolluk kuvvetlerini hedef aldı.
Ancak Microsoft’ta tehdit istihbaratı stratejisi yöneticisi Sherrod DeGrippo, bazı yönlerden daha karmaşık bir operasyona sahip olsalar da, Cadet Blizzard’ın hâlâ korkunç bir APT olduğu konusunda uyarıyor.
“Hedefleri yıkımdır, bu nedenle kuruluşların kesinlikle onlar hakkında diğer aktörler gibi eşit derecede endişelenmesi ve onlara karşı koruma sağlamak için bulut korumalarını etkinleştirmek, kimlik doğrulama etkinliğini gözden geçirmek ve çok faktörlü kimlik doğrulamayı (MFA) etkinleştirmek gibi proaktif önlemler alması gerekiyor.” diyor.
Morris, kuruluşların “temellerle başlamasını tavsiye ediyor: güçlü kimlik doğrulama – MFA,
Gerektiğinde FIDO anahtarları – en az ayrıcalık ilkesini uygulayın; yama, yama, yama; güvenlik kontrollerinizin ve araçlarınızın mevcut ve çalışır durumda olduğundan emin olun; ve kullanıcıları sık sık eğitin.”
