Cadet Blizzard nổi lên như một tác nhân đe dọa mới và khác biệt của Nga
Microsoft tiếp tục cộng tác với các đối tác toàn cầu trong việc ứng phó, vạch trần âm mưu tấn công mạng phá hoại và các hoạt động thông tin đem đến cái nhìn rõ ràng hơn về công cụ và kỹ thuật mà các tác nhân đe dọa được nhà nước Nga bảo trợ sử dụng. Xuyên suốt cuộc xung đột, các tác nhân đe dọa của Nga đã triển khai nhiều âm mưu phá hoại với mức độ phức tạp và tác động khác nhau, điều này cho thấy những kẻ này triển khai các kỹ thuật mới nhanh chóng ra sao trong một cuộc chiến tranh hỗn hợp. Bên cạnh đó, chúng cũng để lộ những hạn chế thực tế trong việc thực hiện các chiến dịch phá hoại khi mắc phải những lỗi tác chiến nghiêm trọng và cộng đồng an ninh tập hợp để phòng thủ. Dựa vào những thông tin chuyên sâu này, các nhà nghiên cứu bảo mật liên tục tinh chỉnh chức năng phát hiện và giảm thiểu rủi ro để chống lại các cuộc tấn công tương tự nổ ra trong môi trường thời chiến.
Hôm nay, Microsoft Threat Intelligence sẽ chia sẻ chi tiết mới nhất về các kỹ thuật của một tác nhân đe dọa từng bị theo dõi dưới danh xưng DEV-0586 – một tác nhân đe dọa khác do nhà nước Nga bảo trợ hiện đã trở thành cái tên Cadet Blizzard. Nhờ cuộc điều tra về hoạt động xâm nhập của tác nhân này trong năm qua, chúng tôi tin rằng mình đã có những phân tích và kiến thức chính xác về công cụ, mục tiêu và động cơ của nhóm này, đáp ứng các tiêu chí để bị xem như một tác nhân đe dọa danh nghĩa.
Microsoft đánh giá rằng các hoạt động của Cadet Blizzard có liên quan đến Cơ quan Tình báo Quân đội Nga (GRU) nhưng lại tách biệt với các nhóm liên kết với GRU nổi tiếng và lâu đời hơn như Forest Blizzard (STRONTIUM ) và Seashell Blizzard (IRIDIUM). Trong khi Microsoft liên tục theo dõi một số nhóm hoạt động có mức độ liên kết khác nhau với chính phủ Nga thì sự xuất hiện của một nhóm mới có liên hệ với GRU (đặc biệt là nhóm đã tiến hành các hoạt động phá hoại mạng có khả năng sẽ hỗ trợ các mục tiêu quân sự lớn hơn ở Ukraina) là một diễn biến đáng chú ý trong bối cảnh mối đe dọa mạng của Nga. Một tháng trước khi Nga xâm lược Ukraina, Cadet Blizzard đã báo hiệu về hoạt động phá hoại trong tương lai khi tạo và phát tán WhisperGate, một âm mưu phá hoại xóa sạch Master Boot Records (MBR) nhằm chống lại các tổ chức chính phủ Ukraina. Cadet Blizzard cũng có liên quan đến các hành vi phá hủy giao diện một số website của các tổ chức thuộc Ukraina, cũng như nhiều hoạt động, bao gồm cả diễn đàn chia sẻ thông tin đánh cắp mang tên “Free Civilian”.
Microsoft đã theo dõi Cadet Blizzard kể từ khi nhóm này phát tán WhisperGate vào Tháng Một 2022. Chúng tôi đánh giá rằng nhóm đã hoạt động ở một hình thức nào đó ít nhất từ năm 2020 và tiếp tục thực hiện các hoạt động mạng cho đến hiện tại. Hoạt động nhất quán với phạm vi và mục tiêu đã xác định của các hoạt động do GRU lãnh đạo trong suốt quá trình Nga xâm lược Ukraina, Cadet Blizzard đã tham gia vào các cuộc tấn công phá hoại tập trung, gián điệp và các hoạt động thông tin tại các khu vực có ý nghĩa quan trọng về địa lý. Hoạt động của Cadet Blizzard, mặc dù tương đối khiêm tốn cả về quy mô và phạm vi so với các tác nhân đe dọa lâu đời hơn như Seashell Blizzard, nhưng nhóm này lại được tổ chức để tạo ra tác động và thường xuyên gây nguy cơ làm gián đoạn các hoạt động mạng đồng thời tiết lộ thông tin nhạy cảm thông qua hoạt động chia sẻ thông tin đánh cắp có chủ đích. Đối tượng mục tiêu chính bao gồm các tổ chức chính phủ và nhà cung cấp công nghệ thông tin ở Ukraina, dẫu vậy thì các tổ chức ở châu Âu và châu Mỹ Latinh cũng bị nhắm đến.
Microsoft đã hợp tác chặt chẽ với CERT-UA kể từ khi bắt đầu cuộc chiến của Nga ở Ukraina và tiếp tục hỗ trợ quốc gia này cũng như các quốc gia lân cận trong việc bảo vệ khỏi các cuộc tấn công mạng, như các cuộc tấn công do Cadet Blizzard thực hiện. Giống như mọi hoạt động của đối tượng nhà nước được quan sát, Microsoft sẽ chủ động thông báo trực tiếp cho khách hàng đã bị nhắm mục tiêu hoặc bị xâm phạm, cung cấp cho họ thông tin cần thiết để hướng dẫn điều tra. Microsoft cũng đang tích cực làm việc với các thành viên của cộng đồng bảo mật toàn cầu và các đối tác chiến lược khác để chia sẻ thông tin có thể giải quyết mối đe dọa đang gia tăng này thông qua nhiều kênh. Sau khi nâng hoạt động này lên thành tên tác nhân đe dọa riêng biệt, chúng tôi sẽ chia sẻ thông tin này với cộng đồng bảo mật lớn hơn để cung cấp thông tin chi tiết nhằm bảo vệ và giảm thiểu mối đe dọa của Cadet Blizzard. Các tổ chức nên tích cực thực hiện các bước để bảo vệ môi trường khỏi Cadet Blizzard và blog này nhằm mục đích thảo luận thêm về cách phát hiện và ngăn chặn sự gián đoạn.
Theo dõi Microsoft Security