Cadet Blizzard se pojavljuje kao nov i poseban zlonamerni akter
Microsoft nastavlja da reaguje, u saradnji sa globalnim partnerima, a otkrivanje destruktivnih kibernetičkih mogućnosti i informacionih operacija pruža jasniju sliku o alatkama i tehnikama koje zlonamerni akteri koriste pod pokroviteljstvom ruske države. Tokom čitavog sukoba, ruski zlonamerni akteri koristili su različite destruktivne veštine raznih nivoa složenosti i uticaja, što pokazuje kako zlonamerni akteri tokom hibridnog rata brzo primenjuju nove tehnike, uporedo sa praktičnim ograničenjima u izvođenju destruktivnih kampanja kada dođe do značajnih operativnih grešaka, a bezbednosna zajednica se okupi oko odbrane. Ovi uvidi pomažu istraživačima u oblasti bezbednosti da sve vreme preciziraju mogućnosti otkrivanja i smanjenja rizika radi odbrane od takvih napada u skladu sa njihovim razvojem u ratnom okruženju.
Danas platforma Microsoft informacije o pretnjama deli ažurirane detalje o tehnikama zlonamernog aktera koji je ranije bio poznat kao DEV-0586 – značajan zlonamerni akter pod pokroviteljstvom ruske države, a koji je sada prerastao u grupu pod nazivom Cadet Blizzard. Rezultati naše istrage o njihovim aktivnostima upada tokom prošle godine doveli su do toga da smo stekli visok stepen poverenja u naše analize i znanje o alatkama aktera, viktimologiji i motivaciji, jer smo doprineli ispunjavanju kriterijuma za proglašenje ove grupe u imenovanog zlonamernog aktera.
Microsoft procenjuje da su operacije grupe Cadet Blizzard povezane sa Glavnim obaveštajnim direktoratom Ruskog generaštaba (GRU) ali su odvojene od drugih poznatih i čvršće ukorenjenih grupa povezanih sa GRU, kao što su Forest Blizzard (STRONTIUM) i Seashell Blizzard (IRIDIUM). Dok Microsoft neprekidno prati brojne aktivnosti grupa različitog stepena pripadnosti ruskoj vladi, pojava novog aktera povezanog sa GRU, posebno onog koji je sprovodio destruktivne kibernetičke operacije, najverovatnije sa ciljem da obezbedi podršku u vezi sa većim brojem vojnih ciljeva u Ukrajini, predstavlja primetan razvoj na polju ruskih kibernetičkih pretnji. Mesec dana pre nego što je Rusija izvršila invaziju na Ukrajinu, grupa Cadet Blizzard je nagovestila buduću destruktivnu aktivnost kada je kreirala i primenila WhisperGate, destruktivan program koji briše Master Boot Records (MBRs), a protiv organizacija koje su u službi ukrajinske vlade. Grupa Cadet Blizzard povezana je i sa oštećenjem veb sajtova nekoliko ukrajinskih organizacija, kao i sa više operacija, uključujući forum za hakovanje i curenje podataka poznat pod nazivom „Free Civilian“.
Korporacija Microsoft pratila je grupu Cadet Blizzard od primene programa WhisperGate u januaru 2022. Naša je procena da je ta grupa u određenoj meri poslovala barem od 2020. godine i nastavlja da obavlja mrežne operacije sve do sada. Prema redosledu akcija u skladu sa nadležnostima i procenjenim ciljevima operacija koje predvodi GRU tokom ruske invazije na Ukrajinu, grupa Cadet Blizzard je učestvovala u ciljanim destruktivnim napadima, špijunaži i informativnim operacijama u oblastima od regionalnog značaja. Operacije grupe Cadet Blizzard, iako i po obimu i po stepenu relativno manje plodne u odnosu na bolje utemeljene zlonamerne aktere kao što je Seashell Blizzard, strukturirane su tako da vrše uticaj i često predstavljaju rizik jer ometaju kontinuitet mrežnih operacija i dovode do izlaganja osetljivih informacija putem ciljanog hakovanja i curenja. U primarne ciljne sektore spadaju vladine organizacije i dobavljači informacionih tehnologija u Ukrajini, iako su na meti bile i organizacije u Evropi i Latinskoj Americi.
Microsoft od početka rata Rusije u Ukrajini ima tesnu saradnju sa CERT-UA i nastavlja da pruža podršku toj zemlji i susednim državama u zaštiti od kibernetičkih napada, poput onih koje sprovodi Cadet Blizzard. Kao i za druge aktivnosti koje zapazi kod državnih aktera, Microsoft direktno i proaktivno obaveštava klijente koji su bili na meti ili ugroženi, tako što im dostavlja informacije koje su im potrebne za vođenje istrage. Microsoft uz to aktivno sarađuje sa članovima globalne bezbednosne zajednice i ostalim strateškim partnerima na razmeni informacija kojima se ova rastuća pretnja može rešiti putem više kanala. Pošto smo ovu aktivnost podigli na nivo jasno prepoznatljivog naziva zlonamernog aktera, delimo ovu informaciju sa širom bezbednosnom zajednicom kako bismo pružili uvid radi zaštite i smanjenja rizika koje u vidu pretnje predstavlja Cadet Blizzard. Organizacije treba aktivno da preduzmu korake za zaštitu okruženja od grupe Cadet Blizzard, a ovaj blog dalje ima za cilj otvaranje diskusije o načinima za otkrivanje i sprečavanje ometanja.
Pratite Microsoft bezbednost