"Cadet Blizzard" de la APT rusa detrás de los ataques de limpiaparabrisas en Ucrania

Sep 18, 2023

El 14 de junio se identificó un actor de amenaza que desempeñó un papel clave en el período previo a la invasión rusa de Ucrania. La actividad de la amenaza persistente avanzada (APT) "Cadet Blizzard" alcanzó su punto máximo entre enero y junio del año pasado, lo que ayudó a allanar el camino. por una invasión militar.

Microsoft detalló la actividad en una publicación de blog. Las más notables entre las acciones de la APT fueron una campaña para desfigurar los sitios web del gobierno ucraniano y un limpiador conocido como "WhisperGate" que fue diseñado para dejar los sistemas informáticos completamente inoperables.

Estos ataques "precedieron a múltiples oleadas de ataques por parte de Seashell Blizzard", otro grupo ruso, "que siguieron cuando el ejército ruso comenzó su ofensiva terrestre un mes después", explicó Microsoft.

Microsoft conectó a Cadet Blizzard con la agencia de inteligencia militar de Rusia, el GRU.

Identificar la APT es un paso hacia la lucha contra el cibercrimen patrocinado por el Estado ruso, afirma Timothy Morris, asesor jefe de seguridad de Tanium, "sin embargo, siempre es más importante centrarse en los comportamientos y tácticas, técnicas y procedimientos (TTP) y no sólo sobre quién está atacando."

Generalmente, Cadet Blizzard obtiene acceso inicial a los objetivos a través de vulnerabilidades comúnmente conocidas en servidores web con acceso a Internet, como Microsoft Exchange y Atlassian Confluence. Después de comprometer una red, se mueve lateralmente, recopila credenciales y aumenta privilegios, y utiliza shells web para establecer persistencia antes de robar datos organizacionales confidenciales o implementar malware de eliminación.

El grupo no discrimina en sus objetivos finales, apuntando a "la interrupción, la destrucción y la recopilación de información, utilizando cualquier medio disponible y, a veces, actuando de manera desordenada", explicó Microsoft.

Pero en lugar de ser un experto en todos los oficios, Cadet es más bien un maestro en nada. "Lo que quizás sea más interesante acerca de este actor", escribió Microsoft sobre APT, "es su tasa de éxito relativamente baja en comparación con otros actores afiliados a GRU como Seashell Blizzard [Iridium, Sandworm] y Forrest Blizzard (APT28, Fancy Bear, Sofacy, Strontium). ]."

Por ejemplo, en comparación con los ataques de limpieza atribuidos a Seashell Blizzard, WhisperGate de Cadet "afectó a un orden de magnitud menos de sistemas y tuvo un impacto comparativamente modesto, a pesar de haber sido entrenado para destruir las redes de sus oponentes en Ucrania", explicó Microsoft. "Las operaciones cibernéticas más recientes de Cadet Blizzard, aunque ocasionalmente tuvieron éxito, tampoco lograron el impacto de las realizadas por sus homólogos del GRU".

Considerando todo esto, no sorprende que los piratas informáticos también "parecen operar con un menor grado de seguridad operativa que el de los grupos rusos avanzados y de larga data", descubrió Microsoft.

Aunque se centran en asuntos relacionados con Ucrania, las operaciones de Cadet Blizzard no están particularmente enfocadas.

Además de implementar su limpiador de firmas y desfigurar sitios web gubernamentales, el grupo también opera un foro de piratería y filtración llamado "Free Civilian". Fuera de Ucrania, ha atacado objetivos en otras partes de Europa, Asia Central e incluso América Latina. Y además de las agencias gubernamentales, a menudo apuntaba a proveedores de servicios de TI y fabricantes de cadenas de suministro de software, así como a ONG, servicios de emergencia y fuerzas del orden.

Pero si bien pueden tener una operación más complicada en ciertos aspectos, Sherrod DeGrippo, director de estrategia de inteligencia de amenazas de Microsoft, advierte que Cadet Blizzard sigue siendo una APT temible.

"Su objetivo es la destrucción, por lo que las organizaciones necesitan estar igualmente preocupadas por ellos, como lo harían con otros actores, y tomar medidas proactivas como activar protecciones en la nube, revisar la actividad de autenticación y habilitar la autenticación multifactor (MFA) para protegerse contra ellos", dijo. dice.

Por su parte, Morris recomienda que las organizaciones "comience con lo básico: autenticación fuerte - MFA,