Cadet Blizzard se dovedește a fi un actor de amenințare rus inedit, diferit
Microsoft continuă să colaboreze cu partenerii globali în materie de răspuns și expunerea capacităților cibernetice distructive, iar operațiunile din domeniul informațiilor oferă un plus de claritate asupra instrumentelor și tehnicilor folosite de actorii de amenințare sponsorizați de Rusia. Pe parcursul conflictului, actorii de amenințare ruși au implementat o gamă variată de capacități distructive cu diverse niveluri de sofisticare și impact, care arată cum actorii rău intenționați pot implementa rapid tehnici inedite într-un război hibrid, împreună cu limitările practice de executare a campaniilor distructive atunci când se fac erori operaționale semnificative și comunitatea din domeniul securității se concentrează pe apărare. Aceste detalii ajută cercetătorii în domeniul securității să-și rafineze continuu capacitățile de detecție și reducere a riscului pentru a se apăra împotriva acestor atacuri pe măsură ce evoluează într-un mediu marcat de război.
Astăzi, Investigarea amenințărilor Microsoft împărtășește detalii actualizate despre tehnicile unui actor de amenințare urmărit anterior ca DEV-0586, un actor de amenințare aparte sponsorizat de Rusia, căruia acum i s-a dat numele Cadet Blizzard. Ca urmare a investigației noastre asupra activității sale intruzive din ultimul an, am dobândit o încredere sporită în analiza noastră și cunoștințele privind instrumentele actorului, profilul victimelor și motivația sa, îndeplinind astfel criteriile de a transforma acest grup într-un actor de amenințare numit.
Microsoft apreciază că operațiunile Cadet Blizzard sunt asociate cu Direcția Generală de Informații a Statului Major General (GRU), dar separate de alte grupuri afiliate GRU mai cunoscute și consacrate, cum ar fi Forest Blizzard (STRONTIUM) și Seashell Blizzard (IRIDIUM). Deși Microsoft monitorizează constant un număr de grupuri de activități cu diverse grade de afiliere la guvernul Rusiei, apariția unui actor inedit afiliat GRU, mai ales unul care a desfășurat operațiuni cibernetice distructive, cel mai probabil în sprijinul unor obiective militare mai ample în Ucraina, este un eveniment notabil în peisajul amenințărilor cibernetice rusești. Cu o lună înainte ca Rusia să invadeze Ucraina, Cadet Blizzard a prevestit activitatea distructivă atunci când a creat și implementat WhisperGate, o capacitate distructivă ce șterge complet Master Boot Record-urile (MBR),împotriva organizațiilor guvernamentale ucrainene. De asemenea, Cadet Blizzard are legătură cu piratarea site-urilor mai multor organizații ucrainene și cu mai multe operațiuni, inclusiv forumul de accesări ilegale și dezvăluiri cunoscut ca „Free Civilian”.
Microsoft a monitorizat Cadet Blizzard de la implementarea WhisperGate în ianuarie 2022. Estimăm că grupul a funcționat într-o anumită măsură cel puțin din 2020 și continuă să efectueze și în prezent diverse operațiuni în rețea. Consecvent din punct de vedere operațional cu misiunea și obiectivele operațiunilor conduse de GRU pe parcursul invaziei Ucrainei de către Rusia, Cadet Blizzard s-a implicat în atacuri distructive țintite, spionaj și operațiuni în domeniul informațiilor în zone semnificative din regiune. Operațiunile Cadet Blizzard, deși mai reduse ca magnitudine și întindere prin comparație cu actori de amenințare mai cunoscuți precum Seashell Blizzard, sunt structurate pentru a avea impact și prezintă frecvent riscul de perturbare a continuității operațiunilor în rețea și de expunere a informațiilor confidențiale prin operațiuni țintite de accesare ilegală și dezvăluire. Principalele sectoare de activitate vizate sunt organizațiile guvernamentale și furnizorii de tehnologia informației din Ucraina, deși au fost vizate și organizații din Europa și America Latină.
Microsoft a lucrat cu CERT-UA îndeaproape de la începutul războiului din Ucraina și continuă să sprijine țara și vecinii săi pentru a se proteja împotriva atacurilor cibernetice, cum sunt cele derulate de Cadet Blizzard. Așa cum procedează pentru orice activitate observată a actorilor de stat, Microsoft notifică direct și proactiv clienții care au fost vizați sau compromiși, oferindu-le informațiile necesare pentru a-și desfășura investigațiile. De asemenea, Microsoft lucrează în mod activ cu membri ai comunității globale de securitate și alți parteneri strategici pentru a împărtăși informații care pot ajuta la abordarea aceste amenințări în continuă creștere pe mai multe canale. Ridicând această activitate la nivelul unui actor de amenințare distinct, numit, împărtășim aceste informații cu întreaga comunitate din domeniul securității, pentru a oferi detalii care să protejeze și să reducă riscul amenințărilor Cadet Blizzard. Organizațiile ar trebui să ia măsuri în mod activ pentru a-și proteja mediile împotriva Cadet Blizzard, iar acest blog își propune să discute cum se poate detecta și preveni întreruperea activității.
Urmăriți Microsoft Security