Cadet Blizzard nousee esiin uutena ja omaleimaisena venäläisenä uhkaavana toimijana
Microsoft jatkaa yhteistyötä maailmanlaajuisten kumppaneidensa kanssa vastatoimissa: tuhoisien kybervalmiuksien ja informaatio-operaatioiden paljastuminen tarjoaa lisätietoa Venäjän valtion tukemien uhkaavien toimijoiden työkaluista ja tekniikoista. Koko konfliktin ajan venäläiset uhkaavat toimijat ovat käyttäneet erilaisia tuhoisia kyvykkyyksiä, joiden kehittyneisyys ja vaikutus ovat vaihdelleet. Tämä osoittaa, miten hyökkääjät toteuttavat nopeasti uusia tekniikoita hybridisodan aikana ja miten tuhoisien kampanjoiden toteuttamiseen liittyy käytännön rajoituksia silloin, kun tehdään merkittäviä operatiivisia virheitä ja kun tietoturvayhteisö ryhmittyy puolustukseen. Nämä havainnot auttavat tietoturvatutkijoita parantamaan jatkuvasti tunnistus- ja torjuntavalmiuksia, jotta voidaan puolustautua tällaisilta hyökkäyksiltä, jotka kehittyvät sota-ajan ympäristössä.
Microsoft Threat Intelligence jakaa tänään päivitettyjä tietoja uhkaavasta toimijasta, josta käytettiin aiemmin seurantanumeroa DEV-0586 ja joka on oma erityinen Venäjän valtion tukema uhkaava toimija: se on nyt saanut nimen Cadet Blizzard. Tutkittuamme heidän hyökkäystoimintaansa viimeisen vuoden aikana olemme saaneet suuren luottamuksen analyyseihimme ja tietoihimme toimijan työkaluista, kohteiden valinnasta ja motivaatiosta. Tämän ansiosta tämä ryhmä täyttää nyt kriteerit, joiden perusteella se voidaan korottaa nimetyksi uhkaavaksi toimijaksi.
Microsoft arvioi, että Cadet Blizzardin operaatiot liittyvät Venäjän sotilastiedostelun keskuselimeen (GRU). Ryhmän arvioidaan kuitenkin olevan erillinen ryhmä kuin paremmin tunnetut GRU:hun liitetyt ryhmät Forest Blizzard (STRONTIUM) ja Seashell Blizzard (IRIDIUM). Vaikka Microsoft seuraa jatkuvasti useita toimintaryhmiä, joilla on eriasteisia yhteyksiä Venäjän valtioon, uudenlaisen GRU:hun kytköksissä olevan toimijan ilmaantuminen, erityisesti sellaisen, joka on toteuttanut tuhoisia verkko-operaatioita, jotka todennäköisesti tukevat laajempia sotilaallisia tavoitteita Ukrainassa, on merkittävä kehitysaskel Venäjän muodostamassa verkkouhkamaisemassa. Kuukautta ennen Venäjän hyökkäystä Ukrainaan Ukraine, Cadet Blizzard ennakoi tulevaa tuhoisaa toimintaa luodessaan ja ottaessaan käyttöön WhisperGaten, jolla se hyökkäsi Ukrainan valtion organisaatioihin. WhisperGate on haittaohjelma, joka pyyhkii pääkäynnistystietueet (Master Boot Record, MBR). Cadet Blizzard Jorma liittyy myös useiden ukrainalaisjärjestöjen verkkosivujen turmelemiseen sekä useisiin operaatioihin, esimerkiksi Free Civilian -nimellä tunnettuun hakkerointi- ja vuotokeskustelupalstaan.
Microsoft on seurannut Cadet Blizzardia WhisperGaten käyttöönotosta tammikuussa 2022 alkaen. Arvioimme, että ryhmä on ollut jossakin määrin toiminnassa ainakin vuodesta 2020 lähtien ja jatkanut verkkotoimintaa tähän päivään saakka. Cadet Blizzard on toiminut operatiivisesti GRU:n johtamien operaatioiden puitteissa ja niiden arvioitujen tavoitteiden mukaisesti koko Venäjän Ukrainan hyökkäyssodan ajan. Ryhmä on toteuttanut kohdennettuja tuhohyökkäyksiä, vakoilua ja informaatio-operaatioita alueellisesti merkittävillä vaikutusalueilla. Vaikka Cadet Blizzardin operaatiot eivät ole yhtä laajamittaisia ja laajoja kuin vakiintuneempien uhkaavien toimijoiden (esimerkiksi Seashell Blizzardin), niiden rakenne on suunniteltu niin, että niillä on vaikutusta, ja ne uhkaavat usein verkkotoimintojen jatkuvuutta sekä paljastavat arkaluonteisia tietoja kohdennetuilla hakkerointi- ja vuoto-operaatioilla. Kohdealoja ovat ensisijaisesti Ukrainan julkishallinnon organisaatiot ja IT-palveluntarjoajat, mutta myös Euroopassa ja Latinalaisessa Amerikassa sijaitsevia organisaatioita on otettu kohteeksi.
Microsoft on tehnyt tiivistä yhteistyötä CERT-UA:n kanssa aina Venäjän Ukrainassa aloittaman hyökkäyssodan alusta saakka. Microsoft jatkaa edelleen Ukrainan ja sen naapurivaltioiden suojaamista kyberhyökkäyksiltä, mukaan lukien Cadet Blizzardin toteuttamat hyökkäykset. Kuten minkä tahansa valtion tukeman uhkaavan toimijan tapauksessa, Microsoft ilmoittaa suoraan ja ennakoivasti asiakkaille, jotka ovat joutuneet hyökkäyksen kohteeksi tai vaarantuneet, sekä antaa heille tarvittavat tiedot tutkimustensa ohjaamiseksi. Microsoft tekee myös aktiivista yhteistyötä maailmanlaajuisen turvallisuusyhteisön jäsenten ja muiden strategisten kumppaneiden kanssa jakaakseen tietoa, jolla voidaan puuttua tähän kehittyvään uhkaan useiden kanavien kautta. Kun tämä uhkaava toimija on nyt korotettu nimetyksi uhkaavaksi toimijaksi, jaamme nämä tiedot laajemmalle tietoturvayhteisölle, jotta Cadet Blizzardin aiheuttamalta uhalta voidaan suojautua ja sen hyökkäyksiä ehkäistä. Organisaatioiden tulisi ryhtyä aktiivisiin toimiin suojatakseen ympäristönsä Cadet Blizzardilta. Tässä blogissa käsitellään tarkemmin sitä, miten häiriöitä voidaan tunnistaa ja miten niiltä voidaan suojautua.
Seuraa Microsoft Securitya