A Cadet Blizzard újszerű és sajátos orosz fenyegető szereplőként jelenik meg
A Microsoft továbbra is együttműködik globális partnereivel a válaszlépésekben, a romboló kiberképességek és információs műveletek feltárása nagyobb betekintése nyújt az orosz állam általg támogatott fenyegető szereplők által használt eszközökbe és technikákba. A konfliktus során az orosz fenyegető szereplők különböző romboló képességeket vetettek be különböző szintű kifinomultsággal és hatással, ami jól mutatja, hogy a rosszindulatú szereplők hogyan alkalmaznak gyorsan új technikákat egy hibrid háború során, valamint szemlélteti a romboló kampányok végrehajtásának gyakorlati korlátait, amikor jelentős műveleti hibákat követnek el, és a biztonsági közösség a védelem köré csoportosul. Ezek a betekintések segítenek a biztonsági kutatóknak folyamatosan finomítani a felderítési és elhárítási képességeket, hogy megvédjék magukat az ilyen támadások ellen, ahogy azok a háborús környezetben fejlődnek.
A Microsoft Veszélyforrás-intelligencia ma frissített részleteket oszt meg a korábban DEV-0586 néven nyomon követett fenyegető szereplő technikáiról – ez egy különálló, orosz állam által támogatott fenyegető szereplő, amelyet mostanra Cadet Blizzard névre emeltek. Az elmúlt év során a behatolási tevékenységükkel kapcsolatos vizsgálataink eredményeként nagyfokú magabiztosságra tettünk szert az elemzésünk és a szereplő eszközeinek, viktimológiájának és motivációjának ismerete terén, így teljesítettük azokat a kritériumokat, amelyek alapján ezt a csoportot nevesített fenyegető szereplőnek minősíthetjük.
A Microsoft értékelése szerint a Cadet Blizzard műveletei kapcsolatban állnak az orosz vezérkar fő hírszerzési igazgatóságával (a GRU-val), de elkülönülnek más ismert és a GRU-hoz jobban kötődő csoportoktól, mint például a Forest Blizzardtól (STRONTIUM) és a Seashell Blizzardtól (IRIDIUM). Bár a Microsoft folyamatosan nyomon követ számos, az orosz kormányhoz különböző mértékben kötődő tevékenységet folytató csoportot, egy új, a GRU-hoz kötődő szereplő megjelenése, különösen egy olyan, amely pusztító kiberműveleteket hajtott végre, amelyek valószínűleg szélesebb körű katonai célokat támogatnak Ukrajnában, figyelemre méltó fejlemény az orosz kiberfenyegetések terén. Egy hónappal azelőtt, hogy Oroszország megszállta Ukrajnát, a Cadet Blizzard előre jelezte a jövőbeli romboló tevékenységet, amikor létrehozta és üzembe helyezte a WhisperGate-et , egy olyan romboló képességet, amely törli a fő rendszerindító rekordokat (MBR) az ukrán kormányzati szervezetek ellen. A Cadet Blizzard több ukrán szervezet weboldalának megrongálásához, valamint több művelethez is köthető, köztük a „Free Civilian” néven ismert feltörő és kiszivárogtató fórumhoz.
A Microsoft a WhisperGate 2022. januári üzembe helyezése óta követi a Cadet Blizzardot. Megítélésünk szerint legalább 2020. óta működnek valamilyen formában, és a mai napig folytatják a hálózati műveleteket. A GRU által vezetett műveletek feladatkörével és becsült célkitűzéseivel összhangban a Cadet Blizzard az ukrajnai orosz invázió során célzott romboló támadásokat, kémkedést és információs műveleteket hajtott végre regionálisan jelentős területeken. A Cadet Blizzard műveletei, bár léptékben és hatókörben viszonylag kevésbé kiterjedtek, mint a megalapozottabb fenyegető szereplők, például a Seashell Blizzard, mégis úgy vannak felépítve, hogy hatást gyakoroljanak, és gyakran fennáll a hálózati műveletek folytonossága megakadályozásának és a bizalmas információk kiszivárogtatásának kockázata a célzott feltörő és kiszivárogtató műveletek révén. Az elsődleges célszektorok közé tartoznak az ukrajnai kormányzati szervezetek és informatikai szolgáltatók, de európai és latin-amerikai szervezeteket is megcéloztak már.
A Microsoft az ukrajnai orosz háború kezdete óta szorosan együttműködik a CERT-UA-val, és továbbra is támogatja az országot és a szomszédos államokat az olyan kibertámadások elleni védelemben, mint amilyeneket a Cadet Blizzard hajtott végre. Mint minden megfigyelt nemzetállami szereplői tevékenység esetén, a Microsoft közvetlenül és proaktívan értesíti a célpontként meghatározott vagy támadásnak kitett ügyfeleket, így biztosítva számukra a vizsgálatokhoz szükséges információkat. A Microsoft emellett aktívan együttműködik a globális biztonsági közösség tagjaival és más stratégiai partnerekkel annak érdekében, hogy több csatornán keresztül megossza azokat az információkat, amelyekkel kezelni lehet ezt a fejlődő fenyegetést. Miután ezt a tevékenységet egy különálló fenyegető szereplő nevévé emeltük, megosztjuk ezt az információt a nagyobb biztonsági közösséggel, hogy betekintést nyújtsunk a Cadet Blizzard mint fenyegetés elleni védelemhez és kezeléshez. A szervezeteknek aktívan lépéseket kell tenniük a környezetek Cadet Blizzard elleni védelme érdekében, és ez a blog a továbbiakban azt kívánja megvitatni, hogyan lehet észlelni és megelőzni a zavarokat.
A Microsoft Biztonság követése