Zarejestruj się teraz, aby obejrzeć seminarium internetowe na żądanie poświęcone szczegółowym informacjom zawartym w raporcie firmy Microsoft na temat ochrony zasobów cyfrowych za 2024 r.
Cadet Blizzard wyłania się jako nowe i odrębne rosyjskie źródło zagrożenia
Firma Microsoft kontynuuje współpracę z partnerami na całym świecie w odpowiedzi na te działania. W tym czasie ujawnienie niszczycielskich możliwości cybernetycznych i operacji informacyjnych zapewnia większą przejrzystość co do narzędzi i technik, których używają sponsorowane przez państwo rosyjskie źródła zagrożeń. W całym okresie konfliktu rosyjskie źródła zagrożeń wykorzystują różnorodne niszczycielskie możliwości o różnym stopniu wyrafinowania i wpływu, co ilustruje to, jak złośliwe źródła zagrożeń szybko wdrażają nowe techniki w trakcie wojny hybrydowej, a także praktyczne ograniczenia prowadzenia niszczycielskich kampanii w obliczu popełnienia znaczących błędów operacyjnych i podjęcia przez społeczność zajmującą się bezpieczeństwem wspólnych działań obronnych. Te szczegółowe informacje pomagają badaczom ds. zabezpieczeń w nieustannym doskonaleniu możliwości wykrywania zagrożeń i ograniczania ryzyka na potrzeby obrony przed takimi atakami w miarę ich ewolucji w środowisku w czasie wojny.
Dzisiaj Centrum analiz zagrożeń firmy Microsoft udostępnia zaktualizowane szczegółowe informacje na temat technik stosowanych przez źródło zagrożenia wcześniej śledzone jako DEV-0586 — odrębne źródło zagrożenia sponsorowane przez państwo rosyjskie, które jest teraz znane pod nazwą Cadet Blizzard. W wyniku naszego dochodzenia dotyczącego działalności tej grupy związanej z atakami w ciągu ostatniego roku zyskaliśmy dużą pewność co do naszej analizy i wiedzy na temat narzędzi, wiktymologii i motywacji tego źródła zagrożenia, spełnione więc zostały kryteria przekształcenia tej grupy w nazwane źródło zagrożenia.
Firma Microsoft ocenia, że działania grupy Cadet Blizzard są powiązane z Głównym Zarządem Wywiadowczym Sztabu Generalnego Rosji (GRU), ale są oddzielone od działań innych znanych i bardziej ugruntowanych grup powiązanych z GRU, takich jak Forest Blizzard (STRONTIUM) i Seashell Blizzard (IRIDIUM). Mimo że firma Microsoft stale śledzi szereg prowadzących działania grup, które są w różnym stopniu powiązane z rosyjskim rządem, pojawienie się nowego podmiotu powiązanego z GRU, w szczególności prowadzącego destrukcyjne operacje cybernetyczne, które prawdopodobnie wspierają szersze cele wojskowe w Ukrainie, jest godnym uwagi wydarzeniem w krajobrazie cyberzagrożeń ze strony Rosji. Miesiąc przed inwazją Rosji na Ukrainę grupa Cadet Blizzard przeprowadziła akcję zwiastującą przyszłe destrukcyjne działania, tworząc WhisperGate, niszczycielską funkcję wymazującą rekordy MBR (Master Boot Record) i wdrażając ją przeciwko ukraińskim organizacjom rządowym. Grupa Cadet Blizzard jest też powiązana z atakami, wskutek których zmieniono treść witryn internetowych kilku ukraińskich organizacji (tzw. defacement), oraz z wieloma innymi operacjami, w tym z forum dotyczącym kradzieży i wykorzystywania informacji (hack-and-leak) znanym jako „Free Civilian”.
Firma Microsoft śledzi grupę Cadet Blizzard od czasu wdrożenia WhisperGate w styczniu 2022 r. Oceniamy, że grupa ta działa w pewnym zakresie co najmniej od 2020 r. i obecnie nadal prowadzi operacje w sieci. Grupa Cadet Blizzard, której aktywność jest pod względem operacyjnym zgodna z zakresem i oszacowanymi celami działań dowodzonych przez GRU podczas rosyjskiej inwazji na Ukrainę, angażuje się w ukierunkowane niszczycielskie ataki, szpiegostwo i operacje informacyjne w obszarach istotnych dla regionu. Mimo że działalność grupy Cadet Blizzard jest zarówno pod względem skali, jak i zakresu stosunkowo mniej intensywna niż działalność bardziej ugruntowanych źródeł zagrożeń, takich jak Seashell Blizzard, jest ona zorganizowana tak, aby wywierać wpływ, i często wywołuje ryzyko zakłócenia ciągłości operacji sieciowych oraz ujawnienia poufnych informacji w drodze ukierunkowanych ataków typu hack-and-leak. Do głównych sektorów narażonych na te ataki zaliczają się organizacje rządowe i dostawcy technologii informatycznych w Ukrainie, ale celami ataków były też organizacje w Europie i Ameryce Łacińskiej.
Firma Microsoft ściśle współpracuje z zespołem CERT-UA od początku wojny Rosji w Ukrainie i nadal wspiera ten kraj oraz państwa sąsiednie w ochronie przed cyberatakami, takimi jak te prowadzone przez grupę Cadet Blizzard. Podobnie jak w przypadku każdej zaobserwowanej aktywności państwowej grupy hakerskiej, firma Microsoft bezpośrednio i z wyprzedzeniem powiadamia klientów, którzy stali się celem ataków lub padli ofiarą naruszeń, przekazując im informacje potrzebne do prowadzenia dochodzeń. Ponadto firma Microsoft aktywnie współpracuje z członkami globalnej społeczności zajmującej się bezpieczeństwem i innymi partnerami strategicznymi w celu wymiany informacji, które mogą pomóc w walce z tym ewoluującym zagrożeniem — za pośrednictwem wielu kanałów. Po sklasyfikowaniu tej aktywności jako źródła zagrożenia z odrębną nazwą udostępniamy te informacje szerszej społeczności zajmującej się bezpieczeństwem, aby przekazać szczegółowe informacje umożliwiające ochronę i ograniczanie ryzyka w związku z zagrożeniem ze strony grupy Cadet Blizzard. Organizacje powinny podjąć kroki w celu zapewnienia ochrony środowisk przed działaniami grupy Cadet Blizzard. Ponadto w tym blogu przedstawiono dodatkowe informacje na temat sposobów wykrywania zakłóceń i zapobiegania im.
Obserwuj rozwiązania zabezpieczające firmy Microsoft