Василь Григор’єв, Генеральний директор Lizard Soft
Денис Розумейко, Microsoft 365 Engineer Lizard Soft

У зв'язку з тривалою російською агресією проти України та співпрацею Microsoft з глобальними партнерами, світ зіштовхнувся зі збільшенням кібератак з боку російських державних акторів. Вони застосовують різні підходи та засоби, які переконують у стрімкому розвиткові кіберзлочинності в умовах гібридної війни. У цьому блозі ми розглядаємо дії загрози, відомої як Cadet Blizzard, спрямовані на здійснення деструктивних атак, шпигунства та інформаційних операцій.

Хто такі Cadet Blizzard

Cadet Blizzard – це кіберугруповання, що спонсорується російською державою та має відношення до Головного управління генерального штабу ЗС РФ (ГРУ). За даними Microsoft, Cadet Blizzard відокремлена від інших відомих груп, таких як Forest Blizzard (STRONTIUM) та Seashell Blizzard (IRIDIUM), які також пов’язані з ГРУ.

Microsoft відстежує діяльність Cadet Blizzard з січня 2022 року, але вважає, що вони функціонують з 2020 року. Їхні операції включають руйнівні атаки, шпигунство та інформаційні операції на системи України та інших держав.

Lizard Soft, як сертифікований партнер Microsoft, активно працює над питаннями кібербезпеки та допомагає захиститись від вразливостей, таких як ті, що використовуються Cadet Blizzard.

Хто є цілями Cadet Blizzard

Операції Cadet Blizzard мають глобальний характер, але найбільше торкаються України, Європи, Центральної Азії та подеколи Латинської Америки. Основні цільові сектори кібератак – онлайн-ресурси урядових організацій та постачальників інформаційних технологій в Україні. Водночас мішенями стали й організації в Європі та Латинській Америці.

Як відбувається проникнення

Cadet Blizzard досягає початкового доступу, використовуючи вразливості веб-серверів, які зазвичай розташовані на мережевих периметрах та DMZ.

Відомо також і про атаки на сервери Confluence через вразливість CVE-2021-26084, сервери Exchange через низку вразливостей, включаючи CVE-2022-41040 та ProxyShell.

Для забезпечення постійного доступу до мережі жертви, Cadet Blizzard використовує веб-шели (як-от P0wnyshell, reGeorg, PAS), а також власні варіанти, що входять до публічно доступних комплектів експлойтів.

Окрім того, злочинці з Cadet Blizzard здійснюють ескалацію привілеїв та збір облікових даних, використовуючи різні техніки: приміром, зберігання LSASS, зберігання реєстраційних файлів, тощо.

Які вразливості експлуатуються

• Вразливість серверів Confluence CVE-2021-26084.
• Вразливості серверів Exchange, включаючи CVE-2022-41040 та ProxyShell.

Рекомендації по захисту від атак

• Встановлюйте останні оновлення і патчі безпеки на операційну систему. Слідкуйте за тим, щоб мати останню версію антивірусного ПЗ із останніми оновленнями вірусних баз. Користуйтесь ліцензійним ПЗ.
• Використовуйте централізовані засоби захисту і моніторингу, такі як Microsoft Defender for Endpoint.
• Перегляньте всю діяльність аутентифікації для інфраструктури дистанційного доступу, зокрема для облікових записів, налаштованих на однофакторну аутентифікацію.
• Увімкніть багатофакторну аутентифікацію (MFA) для всіх Користувачів. Нагадаємо, що базовий MFA є в майже усіх планах Microsoft 365. Розширені можливості можна отримати, придбавши Azure Active Directory Premium Plan 1 або вище.
• Увімкніть контрольований доступ до папок (CFA) для запобігання модифікації MBR/VBR.
• Блокуйте створення процесів, що виникають від команд PSExec та WMI, для зупинки бічного руху.
• Увімкніть захист, який надається Microsoft Defender Antivirus або еквівалентний продукт для боротьби зі швидко змінюваними інструментами та методами зловмисників.

Найперші кроки в разі підозри про злам системи

• Негайно сповістити свій ІТ-відділ і вашого довіреного партнера – компанію Lizard Soft. Нагадаємо: в рамках нашого Premier Support-контракт з Microsoft ми можемо сприяти якнайшвидшому підключенню потрібних для реакції на інцидент ресурсів з найвищим пріоритетом.
• Вжити заходів щодо ізоляції компрометованих систем та мережі.
• Змінити паролі та ввімкнути багатофакторну аутентифікацію.
• Запустити антивірусне сканування на всіх системах.
• Співпрацювати з органами розслідування та зі спеціалістами з кібербезпеки для аналізу та ремедіації інциденту.

Lizard Soft уважно відстежує відомі випадки кібератак і аналізує відомі кейси проникнення в IT-системи.

Ми всі розуміємо, що такі атаки не припиняться. Відтак наша задача – бути готовими завчасно: проаналізувати інфраструктуру, визначити вразливості, вжити заходів для зниження ризиків і завжди бути на відстані одного кліка від спеціалістів з кібербезпеки.

Не чекайте зламу ваших даних – унеможливте це: у вашому розпорядженні – досвід і знання найкращих спеціалістів з кібербезпеки в світі, фахівців Microsoft; та найдосконаліші системи кіберзахисту, які Lizard Soft активує в рамках Premier Support-контракту з Microsoft.

Зв’яжіться з нами для аналізу й визначення подальших кроків щодо максимального підвищення рівня безпеки ваших IT-систем.

За матеріалами Microsoft.com