Получете информация от експертите в подкаста Набор от ресурси на Microsoft срещу заплахи. Слушайте сега.
Cadet Blizzard се очертава като нов и изявен руски извършител, представляващ заплаха
В отговор на това Microsoft Corporation продължава да си сътрудничи с глобални партньори в отговор, разкриването на разрушителни киберспособности и информационни операции дава по-голяма яснота за инструментите и техниките, използвани от руските държавно спонсорирани извършители, представляващи заплаха. По време на конфликта руските извършители, представляващи заплаха, разгърнаха разнообразни разрушителни способности с различни нива на сложност и въздействие, които показват как злонамерените извършители бързо прилагат нови техники по време на хибридна война, както и практически ограничения при провеждането на разрушителни кампании, когато са допуснати съществени оперативни грешки и общността за защита се обединява за отбрана. Тези прозрения помагат на изследователите в областта на защитата непрекъснато да усъвършенстват възможностите за откриване и смекчаване на последиците, за да се защитят от такива атаки, докато те се развиват във военновременна среда.
Днес наборът от ресурси на Microsoft срещу заплахи споделя актуализирани подробни данни за техниките на извършител, представляващ заплаха, който преди това е бил проследяван като DEV-0586 – изявен извършител, представляващ заплаха, спонсориран от руската държава, който сега е преименуван на Cadet Blizzard. В резултат на нашето разследване на дейността му по проникване през изминалата година придобихме висока степен на увереност в нашия анализ и познанията ни за инструментариума, виктимологията и мотивацията на този представляващ заплаха извършител, което отговаря на критериите за преобразуване на тази група в представляващ заплаха извършител с присвоено име.
Microsoft преценява, че действията на Cadet Blizzard са свързани с Главното разузнавателно управление на руския Генерален щаб (ГРУ), но са отделни от други известни и по-утвърдени групи, свързани с ГРУ, като Forest Blizzard (STRONTIUM) и Seashell Blizzard (IRIDIUM). Въпреки че Microsoft постоянно следи редица действащи групи с различна степен на принадлежност към руското правителство, появата на нов участник, свързан с ГРУ, особено такъв, който е провеждал разрушителни кибероперации, вероятно в подкрепа на по-мащабни военни цели в Украйна, бележи забележително развитие в руския пейзаж на киберзаплахи. Месец преди Русия да нахлуе в Украйна, Cadet Blizzard предизвести бъдеща разрушителна дейност, когато създаде и внедри WhisperGate с разрушителната способност да изтрива главните записи за зареждане (MBR), насочена против украински правителствени организации. Cadet Blizzard се свързва също така с подмяната на няколко уебсайта на украински организации, както и с множество операции с участието на форума за хакване и изтичане на данни, известен под името Free Civilian.
Microsoft следи Cadet Blizzard от внедряването на WhisperGate през януари 2022 г. Оценяваме, че те функционират в някаква степен поне от 2020 г. насам, и продължават да извършват мрежови операции и в момента. В оперативен план, съответстващ на задачите и оценяваните цели на ръководените от ГРУ операции по време на руската инвазия в Украйна, Cadet Blizzard е участвал в целенасочени разрушителни атаки, шпионаж и информационни операции в райони с регионално значение. Операциите на Cadet Blizzard, макар и сравнително по-слабо разпространени като мащаб и обхват в сравнение с по-утвърдени участници в заплахи като Seashell Blizzard, са структурирани по такъв начин, че да оказват въздействие, и често създават риск от нарушаване на непрекъснатостта на мрежовите операции и разкриване на чувствителна информация чрез целенасочени операции за хакване и изтичане на данни. Сред основните групи цели са правителствени организации и доставчици на информационни технологии в Украйна, въпреки че обект на посегателства са били и организации в Европа и Латинска Америка.
Microsoft Corporation работи в тясно сътрудничество с CERT-UA още от началото на войната на Русия с Украйна и продължава да оказва подкрепа на страната и съседните държави в защитата от кибератаки като извършваните от Cadet Blizzard. Както при всяка наблюдавана дейност от страна на извършители, представляващ заплаха, Microsoft директно и проактивно уведомява клиентите, които са били обект на заплаха или са пострадали, като им предоставя информацията, от която се нуждаят, за да направляват своите разследвания. Microsoft също така работи активно с членове на глобалната общност за защита и с други стратегически партньори, за да споделя информация, която може да се справи с тази развиваща се заплаха по различни канали. След като сведохме тази дейност до отделно име на участник в заплахата, споделяме тази информация с по-голямата общност за защита, за да предоставяме прозрения за защита и за намаляване на заплахата от Cadet Blizzard. Организациите трябва да предприемат активни мерки за защита на средите срещу Cadet Blizzard, а този блог има за цел да обсъжда начините за откриване и предотвратяване на прекъсване на работата.
Следвайте Microsoft