Registreeruge kohe 2024. aasta Microsofti digikaitsearuande ülevaateid käsitleva järelvaadatava veebiseminari vaatamiseks.
Cadet Blizzard on uus ja silmatorkav Venemaa päritolu küberohustaja
Microsoft jätkab sellele vastuseks oma rahvusvaheliste partneritega koostöö tegemist. Hävitavate kübervõimekuste ja infooperatsioonide avalikustamine annab meile selgema ülevaate tööriistadest ja tehnikatest, mida Venemaa mahitatud küberohustajad kasutavad. Kogu konflikti vältel on Venemaalt pärit küberohustajad kasutanud arvukalt erineva keerukusastme ja mõjuga hävitusvõimekusi, mis demonstreerib, kuidas ründajad suudavad hübriidsõja ajal kiiresti kasutusele võtta uusi tehnikaid; samuti aga annab see aimu hävituskampaaniate käitamise praktilistest probleemidest juhul, kui selle käigus tehakse märkimisväärseid vigu ja kui laiem turbekogukond ühendab kaitseks oma jõud. Need teadmised aitavad turbeanalüütikutel tuvastus- ja leevendusmeetmeid järjepidevalt tõhustada, et kaitse suudaks sõjaaja keskkonnas pidevalt arenevate ründevõimekustega sammu pidada.
Microsofti ohuanalüüsi meeskond jagab nüüd värskendatud teavet varem DEV-0586 nimetuse all jälgitud küberohustaja tehnikate kohta: tegemist on konkreetse Venemaal poolt riiklikult mahitatud küberohustajaga, kellele on nüüd antud koodnimi Cadet Blizzard. Olles selle ründaja sissetungitegevusi viimase aasta jooksul põhjalikult uurinud, võime olla üsna kindlad, et meil on hea ülevaade ja teadmised selle ohustaja käsutuses olevatest tööriistadest, ohvrite valimise meetoditest ja motivatsioonist; kõik see vastab kriteeriumidele, mida eeldab sellele rühmitusele nimelise küberohustaja staatuse andmine.
Microsofti hinnangul on Cadet Blizzardi tegevus seotud Venemaa relvajõudude kindralstaabi luure peavalitsusega (GRU), kuid see seisab eraldi teistest teadaolevatest ja endale nime teinud GRU-ga seotud rühmitustest (nt Forest Blizzard (STRONTIUM) ja Seashell Blizzard (IRIDIUM)). Ehkki Microsoft jälgib pidevalt tervet hulka rühmitusi, kellel on suuremal või väiksemal määral olemas seos Venemaa valitsusasutustega, on uue GRU-ga seotud küberohustaja esilekerkimine – pealegi veel sellise, kes on läbi viinud hävitavate tagajärgedega küberoperatsioone, mis tõenäoliselt toetavad laiemaid sõjalisi eesmärke Ukrainas –, Venemaa küberohumaastikul siiski märkimisväärne areng. Juba kuu aega enne seda, kui Venemaa tungis Ukrainasse, andis Cadet Blizzard tulevastest hävitustegevustest märku, töötades välja ja võttes Ukraina valitsusasutuste vastu kasutusele WhisperGate’i – hävitusvõimekuse, mis kustutab üldbuutkirjed (MBR-id). Samuti on Cadet Blizzard seotud mitme Ukraina organisatsiooni veebisaidi sodimise või rikkumisega ning mitmesuguste operatsioonidega, mille seas on näiteks häkkimise ja andmete lekitamisega tegelev foorum „Free Civilian“.
Microsoft on Cadet Blizzardi tegevust jälginud alates WhisperGate’i kasutamisest jaanuaris 2022. Meie hinnangul on see rühmitus ühel või teisel kujul tegutsenud vähemalt alates 2020. aastast ja tegeleb võrguoperatsioonidega jätkuvalt ka praegu. Kooskõlas GRU juhitud operatsioonide ülesande ja eeldatavate eesmärkidega, mida Venemaa sissetung ja täiemahuline sõda Ukrainas hõlmab, on Cadet Blizzard tegelnud fookustatud hävitusrünnete, spionaaži ja infooperatsioonidega regionaalselt olulistes piirkondades. Ehkki Cadet Blizzardi tegevus on võrreldes varasemast tuntud küberohustajate (nt Seashell Blizzardi) tegevusega olnud mõnevõrra vähem ulatuslik, on selle ülesehitus selgelt mõeldud mõjutama ja takistama võrgutegevust ning sihipäraste „häki-ja-lekita“-operatsioonide kaudu avalikustama tundlikku teavet. Põhilised sihikule võetud sektorid hõlmavad Ukraina valitsusasutusi ja infotehnoloogia teenusepakkujaid, ehkki rünnatud on ka Euroopas ja Ladina-Ameerikas asuvaid organisatsioone.
Microsoft on alates Venemaa sissetungist Ukrainasse teinud tihedat koostööd CERT-UA-ga ning jätkab nii Ukraina kui ka naaberriikide kaitsmist küberrünnete, sealhulgas Cadet Blizzardi korraldatavate rünnete eest. Nagu ka teiste riiklikult mahitatud küberohustajate tegevuste korral, teavitab Microsoft sihikule võetud või ründe ohvriks langenud kliente otse ja ennetavalt, andes nende käsutusse kogu ründe uurimiseks vajaliku teabe. Samuti teeb Microsoft aktiivselt koostööd globaalse turbekogukonna liikmete ja teiste strateegiliste partneritega, jagamaks teavet, mis võimaldab selle areneva ohuga tegelda, mitme kanali kaudu. Olles sellele tegevusele andnud konkreetse küberohustaja nime, jagame seda teavet laiema turbekogukonnaga, et pakkuda ülevaateid ja teavet, mis aitavad Cadet Blizzardi kujutatud ohtu leevendada ja end selle eest kaitsta. Organisatsioonid peaksid aktiivselt kasutusele võtma meetmed, et oma keskkonda Cadet Blizzardi eest kaitsta. Selles ajaveebis on meie eesmärk lähemalt arutada seda, kuidas katkestusi tuvastada ja ära hoida.
Jälgige Microsofti turbeteenust