0
0
Um ator de ameaça que desempenhou um papel fundamental no período que antecedeu a invasão russa da Ucrânia foi identificado em 14 de junho. A atividade da “Cadet Blizzard” avançou ameaça persistente (APT) de janeiro a junho do ano passado, ajudando a pavimentar o caminho para a invasão militar.
A Microsoft detalhou a atividade em uma postagem de blog. As ações mais notáveis entre as ações do APT foram uma campanha para desfigurar sites do governo ucraniano, e um limpador conhecido como “WhisperGate” que foi projetado para tornar os sistemas de computador completamente inoperantes.
Estes ataques “prefaciaram várias ondas de ataques da Seashell Blizzard” – outro grupo russo – “que se seguiram quando os militares russos começaram a sua ofensiva terrestre um mês depois”, explicou a Microsoft.
A Microsoft conectou a Cadet Blizzard com a agência de inteligência militar da Rússia, a GRU.
Identificar o APT é um passo para combater o cibercrime patrocinado pelo Estado russo, diz Timothy Morris, conselheiro-chefe de segurança da Tanium, “no entanto, é sempre mais importante se concentrar nos comportamentos e táticas, técnicas e procedimentos (TTPs) e não apenas em quem está fazendo o ataque”.
Comportamentos da Cadete Blizzard & TTPs
Geralmente, a Cadet Blizzard obtém acesso inicial aos alvos por meio de vulnerabilidades comumente conhecidas em servidores Web voltados para a Internet, como o Microsoft Exchange e o Atlassian Confluence. Depois de comprometer uma rede, ele se move lateralmente, coletando credenciais e escalando privilégios e usando shells da Web para estabelecer persistência antes de roubar dados organizacionais confidenciais ou implantar malware extirpativo.
O grupo não discrimina em seus objetivos finais, visando “a interrupção, destruição e coleta de informações, usando quaisquer meios disponíveis e, às vezes, agindo de forma aleatória”, explicou a Microsoft.
Mas, em vez de ser um valete de todos os ofícios, Cadete é mais como um mestre de nenhum. “O que talvez seja mais interessante sobre este ator”, escreveu a Microsoft sobre o APT, “é sua taxa de sucesso relativamente baixa em comparação com outros atores afiliados à GRU, como Seashell Blizzard [Iridium, Sandworm] e Forrest Blizzard (APT28, Fancy Bear, Sofacy, Strontium].”
Por exemplo, em comparação com os ataques de limpador atribuídos à Seashell Blizzard, o WhisperGate da Cadete “afetou uma ordem de magnitude menos sistemas e proporcionou um impacto relativamente modesto, apesar de ter sido treinado para destruir as redes de seus oponentes na Ucrânia”, explicou a Microsoft. “As operações cibernéticas mais recentes da Cadet Blizzard, embora ocasionalmente bem-sucedidas, também não conseguiram alcançar o impacto daquelas conduzidas por suas contrapartes da GRU.”
Tudo isso considerado, não é surpresa que os hackers também “pareçam operar com um grau de segurança operacional menor do que o de grupos russos avançados e de longa data”, descobriu a Microsoft.
O que esperar do Cadet Blizzard APT
Embora centradas em assuntos relacionados à Ucrânia, as operações da Cadet Blizzard não são particularmente focadas.
Além de implantar seu limpador de assinaturas e desfigurar sites do governo, o grupo também opera um fórum de hacks e vazamentos chamado “Free Civilian”. Fora da Ucrânia, atacou alvos em outros lugares da Europa, Ásia Central e até da América Latina. E, além de agências governamentais, muitas vezes tinha como alvo provedores de serviços de TI e fabricantes de cadeia de suprimentos de software, bem como ONGs, serviços de emergência e aplicação da lei.
Mas, embora eles possam ter uma operação mais confusa em certos aspectos, Sherrod DeGrippo, diretor de estratégia de inteligência de ameaças da Microsoft, alerta que a Cadet Blizzard ainda é um APT temível.
“Seu objetivo é a destruição, então as organizações absolutamente precisam estar igualmente preocupadas com eles, como fariam com outros atores, e tomar medidas proativas, como ativar as proteções de nuvem, revisar a atividade de autenticação e habilitar a autenticação multifator (MFA) para se proteger contra eles”, diz ela.
Por sua vez, Morris recomenda que as organizações “comecem com o básico: autenticação forte — MFA,Chaves FIDO sempre que necessário — aplicar o princípio do menor privilégio; remendo, remendo, remendo; garantir que seus controles e ferramentas de segurança estejam presentes e funcionando; e treinar os usuários com frequência”.
FONTE: DARK READING