Cadet Blizzard se perfila como un nuevo y distinto actor de amenaza ruso
Microsoft continúa colaborando con asociados de todo el mundo para responder a esta situación. La exposición de las capacidades cibernéticas destructivas y las operaciones de información permiten conocer las herramientas y técnicas utilizadas por los actores de amenazas patrocinadas por el Estado ruso. A lo largo del conflicto, los actores de la amenaza rusa han implementado una variedad de capacidades destructivas con distintos niveles de sofisticación e impacto, que muestran cómo los actores malintencionados implementan rápidamente nuevas técnicas durante una guerra híbrida, así como las limitaciones prácticas de ejecutar campañas destructivas cuando se cometen errores operativos significativos y la comunidad de seguridad se moviliza para la defensa. Estos conocimientos ayudan a los investigadores de seguridad a perfeccionar continuamente las capacidades de detección y mitigación para defenderse de estos ataques a medida que evolucionan en un entorno de guerra.
Hoy, Inteligencia contra amenazas Microsoft comparte información actualiza sobre las técnicas de un actor de amenazas anteriormente rastreado como DEV-0586, un actor de amenazas ruso patrocinado por el estado que ahora se ha identificado con el nombre Cadet Blizzard. La investigación que hemos llevado a cabo sobre sus actividades de intrusión a lo largo del último año nos ha proporcionado una gran confianza en nuestro análisis y conocimiento de las herramientas, la victimología y la motivación del actor, lo cual cumple los criterios para convertir a este grupo en un actor de amenazas con nombre.
Microsoft considera que las operaciones de Cadet Blizzard están asociadas al Departamento Central de Inteligencia del Estado Mayor ruso (GRU), pero son independientes de otros grupos conocidos y más consolidados afiliados al GRU, como Forest Blizzard (STRONTIUM) y Seashell Blizzard (IRIDIUM). Aunque Microsoft rastrea constantemente una serie de grupos de actividad con diversos grados de afiliación al gobierno ruso, la aparición de un nuevo actor afiliado al GRU, en particular uno que ha llevado a cabo operaciones cibernéticas destructivas probablemente apoyando objetivos militares más amplios en Ucrania, es un acontecimiento notable en el panorama de las ciberamenazas rusas. Un mes antes de que Rusia invadiera Ucrania, Cadet Blizzard presagió una futura actividad destructiva cuando creó e implementó WhisperGate, una capacidad destructiva que borra los Master Boot Records (MBR), contra organizaciones gubernamentales ucranianas. Cadet Blizzard también está vinculado a la desfiguración de varios sitios web de organizaciones ucranianas, así como a múltiples operaciones, incluido el foro de pirateo y filtración conocido como "Free Civilian".
Microsoft ha seguido la pista de Cadet Blizzard desde la implementación de WhisperGate en enero de 2022. Consideramos que han estado operativos de algún modo desde al menos 2020 y siguen realizando operaciones de red hasta la actualidad. De acuerdo con el cometido y los objetivos evaluados de las operaciones dirigidas por el GRU durante la invasión rusa de Ucrania, Cadet Blizzard ha llevado a cabo ataques destructivos selectivos, espionaje y operaciones de información en zonas de importancia regional. Las operaciones de Cadet Blizzard, aunque comparativamente menos prolíficas tanto en escala como en alcance que las de actores de amenazas más establecidos como Seashell Blizzard, están estructuradas para causar impacto y con frecuencia corren el riesgo de obstaculizar la continuidad de las operaciones de red y exponer información confidencial mediante operaciones selectivas de pirateo y filtración. Los principales sectores objetivo son las organizaciones gubernamentales y los proveedores de tecnología de la información de Ucrania, aunque también se han dirigido a organizaciones de Europa y América Latina.
Microsoft colabora estrechamente con CERT-UA desde el comienzo de la guerra de Rusia en Ucrania y sigue apoyando al país y a los estados vecinos en la protección contra ciberataques, como los perpetrados por Cadet Blizzard. Al igual que con cualquier actividad observada de un actor de estado nación, Microsoft notifica de forma directa y proactiva a los clientes que han sido atacados o se han visto comprometidos, proporcionándoles la información que necesitan para orientar sus investigaciones. Microsoft también está trabajando activamente con miembros de la comunidad mundial de seguridad y otros asociados estratégicos para compartir información que pueda hacer frente a esta amenaza cambiante a través de múltiples canales. Habiendo elevado esta actividad a un nombre de actor de amenaza distinto, estamos compartiendo esta información con la comunidad de seguridad en general para proporcionar ideas para proteger y mitigar la amenaza que represente Cadet Blizzard. Las organizaciones deben tomar medidas activas para proteger los entornos contra Cadet Blizzard, y este blog tiene como objetivo debatir cómo detectar y prevenir la interrupción.
Seguir a Seguridad de Microsoft