El 14 de junio, se identificó a una figura clave involucrada en la preparación de la invasión rusa a Ucrania. La actividad del grupo APT «Cadet Blizzard» tuvo su mayor intensidad entre enero y junio del año pasado, facilitando el camino para la invasión militar.
Según Microsoft el grupo Cadet Blizzard utilizó un malware wiper personalizado semanas antes de la invasión rusa en Ucrania. Microsoft hablo de este tema en un blog. Entre las actividades de la APT, se incluyen una campaña para desfigurar sitios web gubernamentales ucranianos y un wiper llamado «WhisperGate» diseñado para inhabilitar totalmente los sistemas informáticos.
Al parecer estos ataques «precedieron a múltiples oleadas de ataques de Seashell Blizzard» -otro grupo ruso- «que siguieron cuando el ejército ruso comenzó su ofensiva terrestre un mes después», explicó Microsoft.
Microsoft conectó Cadet Blizzard con la agencia de inteligencia militar rusa, la GRU.
Identificar la APT es un avance en la batalla contra la ciberdelincuencia respaldada por el Estado ruso, dice Timothy Morris, principal asesor de seguridad de Tanium. No obstante, destaca que es crucial enfocarse en los comportamientos y las tácticas, técnicas y procedimientos (TTP) más allá de solo identificar a los atacantes.
Microsoft explica que este es un grupo que no discrimina en sus objetivos finales, suelen buscar la interrupción, la destrucción y la recopilación utilizando cualquier medio disponible y actuando de forma desordenada.
Su manera de operar
Generalmente, Cadet Blizzard accede a los objetivos mediante vulnerabilidades conocidas en servidores web expuestos a Internet, como Microsoft Exchange y Atlassian Confluence. Tras comprometer una red, se desplaza lateralmente, recolectando credenciales y aumentando privilegios, usando web shells para mantener persistencia antes de sustraer datos sensibles de la organización o implementar malware destructivo.
Microsoft señaló que lo más llamativo de este actor es su baja tasa de éxito comparado con otros grupos afiliados a la GRU como Seashell Blizzard [Iridium, Sandworm] y Forrest Blizzard (APT28, Fancy Bear, Sofacy, Strontium].
Por ejemplo, en comparación con los ataques wiper atribuidos a Seashell Blizzard, el WhisperGate de Cadet afectó a muchos menos sistemas y tuvo un impacto relativamente modesto, aunque estaba diseñado para destruir las redes de sus oponentes en Ucrania, según Microsoft. Las operaciones cibernéticas más recientes de Cadet Blizzard no lograron el impacto de las realizadas por sus contrapartes del GRU, aunque ocasionalmente tuvieron éxito.
Aunque centradas en asuntos relacionados con Ucrania, las operaciones de Cadet Blizzard no están especialmente focalizadas.
Se conoce que además de desplegar su firma wiper y desfigurar sitos web gubernamentales, el grupo también opera un foro de hackeo y filtración llamado «Free Civilian».
Fuera de Ucrania, ha atacado objetivos en Europa, Asia Central y Latinoamérica. Además de entidades públicas, suele atacar proveedores de servicios informáticos, fabricantes de software, ONGs, servicios de emergencia y fuerzas de seguridad.
Su meta es causar destrucción, así que las organizaciones deben preocuparse tanto por ellos como por otros actores. Para protegerse, deben tomar medidas proactivas como activar protecciones en la nube, monitorear la actividad de autenticación y habilitar autenticación multifactor (MFA), según Sherrod DeGrippo, director de estrategia de inteligencia de amenazas en Microsoft.
Fuente: La APT rusa «Cadet Blizzard», detrás de los ataques Wiper en Ucrania