Registrer deg nå for å se det forespørselsbaserte nettseminaret med innsikt fra Microsoft-rapport om digitalt forsvar for 2024.
Cadet Blizzard trer frem som en ny og distinkt russisk trusselaktør
Microsoft fortsetter å samarbeide med globale partnere, som svar på dette, gir eksponeringen av destruktive cyberfunksjoner og informasjonsoperasjoner større klarhet i verktøyene og teknikkene som brukes av de statlig sponsede russiske trusselaktørene. Gjennom hele konflikten har russiske trusselaktører distribuert en rekke destruktive funksjoner med varierende nivå av kompleksitet og påvirkning, som viser hvordan ondsinnede aktører raskt implementerer nye teknikker under en hybridkrig, sammen med de praktiske begrensningene ved å gjennomføre destruktive kampanjer når betydelige driftsfeil blir gjort, og sikkerhetsfellesskapet tar seg opp rundt forsvar. Denne innsikten hjelper sikkerhetsforskere med å kontinuerlig gjøre oppdagelses- og reduksjonsfunksjoner mer nøyaktige, for å beskytte mot slike angrep idet de utvikler seg i krigstid.
I dag deler Microsoft trusselinformasjon oppdatert informasjon om teknikkene til en trusselaktør som tidligere ble sporet som DEV-0586– en distinkt statlig sponset russisk trusselaktør som nå har fått navnet Cadet Blizzard. Som et resultat av undersøkelsene av inntrengningsaktiviteten det siste året har vi skaffet stor tillit med analysen og kunnskapen om aktørens verktøy, viktimologi og motivasjon, og oppfyller kriteriene til å konvertere denne gruppen til en navngitt trusselaktør.
Microsoft estimerer at driften tilCadet Blizzard er tilknyttet Russian General Staff Main Intelligence Directorate (GRU), men atskilt fra andre kjente og mer etablerte GRU-tilknyttede konsern som Forest Blizzard (STRONTIUM) og Seashell Blizzard (IRIDIUM). Mens Microsoft kontinuerlig overvåker en rekke aktivitetsgrupper med varierende grad av tilknytning til russiske myndigheter, er utviklingen av en ny GRU-tilknyttet aktør, særlig en som har gjennomført destruktive cyberoperasjoner som sannsynligvis støtter større militære mål i Ukraina, en merkbar utvikling i det russiske cybertrussellandskapet. En måned før Russland invaderte Ukraina, antydet Cadet Blizzard fremtidig destruktiv aktivitet når de opprettet og distribuerte WhisperGate, en destruktiv funksjon som sletter Master Boot Records (MBR-er) mot offentlige organisasjoner i Ukraina. Cadet Blizzard er også koblet til ødeleggelsen av flere ukrainske organisasjonsnettsteder, samt flere operasjoner, inkludert hack-and-leak-forumet som er kjent som «Free Civilian».
Microsoft har overvåket Blizzard siden distribusjonen av WhisperGate i januar 2022. Vi estimerer at de har vært i drift med en viss kapasitet siden minst 2020, og fortsetter å utføre nettverksoperasjoner fremover. Cadet Blizzard har engasjert seg i fokuserte destruktive angrep, spionasje og informasjonsoperasjoner i regionalt betydelige områder, noe som er driftsmessig konsistent med mandatet og de vurderte målene til GRU-styrte operasjoner gjennom Russlands invasjon av Ukraina. Cadet Blizzards drift, om enn mindre viktig i både størrelse og omfang sammenlignet med mer etablerte trusselaktører som Seashell Blizzard, er strukturert til å påvirke og hyppig risikere å hindre kontinuiteten til nettverksoperasjoner og eksponere sensitiv informasjon gjennom målrettet hack-and-leak-operasjoner. Primært målrettede sektorer inkluderer offentlige organisasjoner og leverandører av informasjonsteknologi i Ukraina, selv om organisasjoner i Europa og Latin-Amerika også er mål.
Microsoft har jobbet tett med CERT-UA siden begynnelsen av Russlands krig i Ukraina, og fortsetter å støtte landet og nabostatene med beskytte mot cyberangrep, slik som de som utføres av Cadet Blizzard. På samme måte som med all observert aktivitet fra statlige aktører, varsler Microsoft direkte og proaktivt målrettede eller kompromitterte kunder, og gir dem informasjonen de trenger for å veilede undersøkelsene sine. Microsoft jobber også aktivt med medlemmer av det globale sikkerhetsfellesskapet og andre strategiske partnere for å dele informasjon som tar for seg denne trusselen som er under utvikling, gjennom flere kanaler. Etter å ha hevet denne aktiviteten til et distinkt trusselaktørnavn, deler vi denne informasjonen med et større sikkerhetsfellesskap for å gi innsikt for å beskytte og redusere trusselen til Cadet Blizzard. Organisasjoner bør aktivt ta forholdsregler for å beskytte miljøer mot Cadet Blizzard, og dennebloggentar sikte på å videre diskutere hvordan du oppdager og hindrer avbrudd.
Følg Microsoft Sikkerhet