O Cadet Blizzard surge como um novo e distinto ator de ameaças da Rússia
A Microsoft continua a colaborar com parceiros globais em resposta à exposição de recursos cibernéticos destrutivos e às operações de informação que proporcionam maior clareza sobre as ferramentas e técnicas utilizadas pelos atores de ameaças patrocinados pelo governo russo. Ao longo do conflito, os atores de ameaças russos utilizaram vários recursos destrutivos com diferentes níveis de sofisticação e impacto, que mostram como os agentes maliciosos implementam rapidamente novas técnicas durante uma guerra híbrida, juntamente com as limitações práticas da execução de campanhas destrutivas quando são cometidos erros operacionais significativos e a comunidade de segurança se mobiliza em torno da defesa. Esses insights ajudam os pesquisadores de segurança a refinar continuamente os recursos de detecção e mitigação para proporcionar defesa contra tais ataques, conforme eles evoluem em um ambiente em tempo de guerra.
Atualmente, as Informações sobre ameaças da Microsoft estão compartilhando detalhes atualizados sobre técnicas de um ator de ameaças anteriormente rastreado como DEV-0586, patrocinado pelo governo russo e que agora recebeu o nome Cadet Blizzard. Como resultado de nossa investigação sobre suas atividades de intrusão no ano passado, pudemos desenvolver grande confiança na nossa análise e no reconhecimento das suas ferramentas, vitimologia e motivação, cumprindo os critérios para converter este grupo em um ator de ameaça nomeado.
A Microsoft avalia que as operações do Cadet Blizzardestão associadas ao GRU (General Staff Main Intelligence Directorate) da Rússia, mas que são um grupo separado de outros grupos afiliados ao GRU mais estabelecidos e conhecidos, como o Forest Blizzard (STRONTIUM) e o Seashell Blizzard (IRIDIUM). Embora a Microsoft constantemente rastreie diversos grupos de atividades com graus variáveis de afiliação ao governo russo, o surgimento de um novo ator afiliado ao GRU, especialmente um que conduziu operações cibernéticas destrutivas, provavelmente apoiando objetivos militares mais amplos na Ucrânia, é um desenvolvimento notável no cenário de ameaças cibernéticas da Rússia. Um mês antes da Rússia invadir a Ucrânia, o Cadet Blizzard prenunciou futuras atividades destrutivas ao criar e implementar o WhisperGate, um recurso destrutivo que apaga os MBRs (Master Boot Records) contra organizações governamentais ucranianas. O Cadet Blizzard também está vinculado à alteração de vários sites de organizações ucranianas, bem como a várias operações, incluindo o fórum de hackers e vazamentos de informações conhecido como "Free Civilian".
A Microsoft tem rastreado o Cadet Blizzard desde a implantação do WhisperGate em janeiro de 2022. Avaliamos que eles estão operacionais com alguma capacidade pelo menos desde 2020 e continuam a realizar operações de rede até o presente. Operacionalmente consistente com a missão e os objetivos avaliados das operações lideradas pelo GRU durante a invasão da Ucrânia pela Rússia, o Cadet Blizzard se envolveu em ataques destrutivos, espionagem e operações de informação em áreas regionalmente significativas. As operações do Cadet Blizzard, embora comparativamente menos prolíficas em escala e escopo do que as operações de atores de ameaças mais estabelecidos, como o Seashell Blizzard, são estruturadas para causar impacto e frequentemente correm o risco de prejudicar a continuidade das operações de rede e expor informações confidenciais por meio de operações direcionadas para raquear e causar vazamentos. Os principais setores visados incluem organizações governamentais e provedores de tecnologia da informação na Ucrânia, embora organizações na Europa e na América Latina também tenham sido visadas.
A Microsoft tem trabalhado em estreita colaboração com o CERT-UA desde o início da guerra da Rússia na Ucrânia e continua a apoiar o país e os estados vizinhos na proteção contra ataques cibernéticos, como os realizados pelo Cadet Blizzard. Assim como em qualquer atividade observada de um ator do estado-nação, a Microsoft notifica direta e proativamente os clientes que foram alvos ou comprometidos, fornecendo a eles as informações necessárias para orientar as investigações. A Microsoft também está trabalhando ativamente com membros da comunidade global de segurança e outros parceiros estratégicos para compartilhar informações que possam lidar com essa ameaça em evolução por meio de vários canais. Tendo elevado essa atividade a um nome distinto de ator de ameaças, estamos compartilhando essas informações de forma mais ampla com a comunidade de segurança para fornecer insights para proteger e mitigar o Cadet Blizzard como uma ameaça. As organizações devem tomar medidas ativas para proteger os ambientes contra o Cadet Blizzard, e este blog tem como objetivo discutir como detectar e evitar a interrupção.
Siga a Segurança da Microsoft