Cadet Blizzard emerge come un nuovo attore di minacce russo
Microsoft continua a collaborare con i partner globali per dare una risposta; l'esposizione di funzionalità informatiche distruttive e le operazioni informatiche offrono maggiore chiarezza sugli strumenti e sulle tecniche usati dagli attori di minacce sponsorizzati dalla Russia. Durante il conflitto, gli attori di minacce russi hanno distribuito diverse funzionalità distruttive con diversi livelli di complessità e impatto, il che dimostra in che modo gli attori dannosi implementano rapidamente nuove tecniche durante una guerra ibrida, insieme ai limiti pratici dell'esecuzione di campagne distruttive quando vengono commessi errori operativi significativi e la community di sicurezza si unisce per la difesa. Questi dati analitici consentono ai ricercatori nel campo della sicurezza di perfezionare continuamente le funzionalità di rilevamento e mitigazione per difendersi da tali attacchi mentre l'ambiente di guerra evolve.
Oggi, Microsoft Threat Intelligence condivide dettagli aggiornati sulle tecniche di un attore di minacce in precedenza tracciato come DEV-0586, un attore di minacce sponsorizzato dalla Russia che ora è stato identificato con il nome Cadet Blizzard. In seguito alla nostra indagine sulla loro attività di intrusione nell'ultimo anno, abbiamo guadagnato un livello elevato di fiducia nella nostra analisi e nella nostra conoscenza degli strumenti, delle vittime e delle motivazioni dell'attore, soddisfacendo i criteri per convertire questo gruppo in un attore di minacce con un nome.
Microsoft afferma che le operazioni di Cadet Blizzard sono associate al General Staff Main Intelligence Directorate (GRU) russo, ma sono separate da quelle di altri gruppi più strutturati affiliati al GRU come Forest Blizzard (STRONTIUM) e Seashell Blizzard (IRIDIUM). Mentre Microsoft traccia costantemente diversi gruppi di attività con diversi gradi di affiliazione del governo russo, l'emergenza di un nuovo attore affiliato al GRU, in particolare uno che ha condotto operazioni informatiche distruttive come il supporto di obiettivi militari più estesi in Ucraina, rappresenta un notevole sviluppo nel panorama delle minacce informatiche russe. Un mese prima dell'invasione dell'Ucraina da parte della Russia, Cadet Blizzard predisse un'attività distruttiva futura con la creazione e la distribuzione di WhisperGate, una funzionalità distruttiva che rimuove Master Boot Records (MBR), contro le organizzazioni governative ucraine. Cadet Blizzard è anche collegata alle deturpazioni di diversi siti web di organizzazioni ucraine e a diverse operazioni, tra cui il forum hack-and-leak noto come "Free Civilian".
Microsoft ha tracciato Cadet Blizzard sin dalla distribuzione di WhisperGate a gennaio 2022. Valutiamo che abbiano un'operatività da almeno il 2020 e continuano a eseguire operazioni di rete tutt'oggi. In linea a livello operativo con gli obiettivi dichiarati delle operazioni guidate dal GRU durante tutta l'invasione dell'Ucraina da parte della Russia, Cadet Blizzard è coinvolta in attacchi distruttivi mirati, spionaggio e operazioni relative alle informazioni in aree geografiche specifiche di rilievo. Le operazioni di Cadet Blizzard, sebbene meno prolifiche in termini di scala e ambito rispetto a quelle di attori di minacce più strutturati come Seashell Blizzard, sono progettate per creare un impatto e spesso presentano il rischio di danneggiare la continuità delle operazioni di rete e dell'esposizione di informazioni sensibili attraverso operazioni hack-and-leak mirate. I settori principalmente colpiti sono le organizzazioni governative e i provider di servizi IT in Ucraina, anche se sono state colpite anche organizzazioni in Europa e America Latina.
Microsoftcollabora con CERT-UAsin dall'inizio della guerra della Russia in Ucraina e continua a supportare il Paese e gli stati vicini nella protezione da attacchi informatici, come quelli guidati da Cadet Blizzard. Come per ogni attività osservata di attori di stato-nazione, Microsoft informa direttamente e in modo proattivo i clienti che sono stati colpiti o compromessi, offrendo loro le informazioni necessarie per condurre le indagini. Microsoft sta anche lavorando attivamente con i membri della community di sicurezza globale e altri partner strategici per condividere informazioni in grado di rispondere alle nuove minacce attraverso diversi canali. Avendo addebitato questa attività a uno specifico nome di attore di minacce, stiamo condividendo queste informazioni con la community di sicurezza più ampia per fornire dati analitici per proteggere e mitigare la potenza di Cadet Blizzard come minaccia. Le organizzazioni dovrebbero attivamente adottare misure per proteggere gli ambienti da Cadet Blizzard e questoblog mira ulteriormente a discutere il modo in cui rilevare e impedire le interruzioni.
Segui Microsoft Security