Få indsigt direkte fra eksperterne i Microsoft Threat Intelligence-podcasten. Lyt nu.
Cadet Blizzard træder frem som en ny og anderledes russisk trusselsaktør
fortsætter Microsoft med at samarbejde med globale partnere som svar, og eksponeringen af destruktive cyberfunktionaliteter og informationsoperationer giver større klarhed over de værktøjer og teknikker, der bruges af russiske statssponsorerede trusselsaktører. I løbet af hele konflikten har russiske trusselsaktører anvendt en række destruktive funktionaliteter med forskellige niveauer af raffinement og indvirkning, som viser, hvordan ondsindede aktører hurtigt implementerer nye teknikker under en hybridkrig, sammen med de praktiske begrænsninger ved at udføre destruktive kampagner, når der begås betydelige operationelle fejl, og sikkerhedssamfundet samler sig om forsvaret. Disse indsigter hjælper sikkerhedsforskere med løbende at finindstille funktionaliteter til registrering og afhjælpning for at forsvare sig mod sådanne angreb, efterhånden som de udvikler sig i et krigsmiljø.
I dag deler Microsoft Threat Intelligence opdaterede detaljer om teknikker fra en trusselsaktør, der tidligere blev sporet som DEV-0586 – en særskilt russisk statssponsoreret trusselsaktør, der nu er blevet omdøbt til Cadet Blizzard. Som et resultat af vores undersøgelse af deres indtrængningsaktivitet i løbet af det sidste år, har vi fået stor tillid til vores analyse og viden om aktørens værktøjer, viktimologi og motivation, hvilket opfylder kriterierne for at konvertere denne gruppe til en navngiven trusselsaktør.
Microsoft vurderer, at Cadet Blizzards operationer er forbundet med den russiske generalstabs efterretningstjeneste (GRU), men er adskilt fra andre kendte og mere etablerede GRU-relaterede grupper som Forest Blizzard (STRONTIUM) og Seashell Blizzard (IRIDIUM). Mens Microsoft konstant sporer en række aktivitetsgrupper med forskellige former for tilknytning til den russiske regering, er fremkomsten af en ny GRU-tilknyttet aktør, især en, der har udført destruktive cyberoperationer, der sandsynligvis støtter bredere militære mål i Ukraine, en bemærkelsesværdig udvikling i det russiske cybertrusselslandskab. En måned før Rusland invaderede Ukraine, forudså Cadet Blizzard fremtidig destruktiv aktivitet, da de skabte og udrullede WhisperGate, en destruktiv funktionalitet, der sletter Master Boot Records (MBRs), mod ukrainske regeringsorganisationer. Cadet Blizzard sættes også i forbindelse med hærværk på flere ukrainske organisationers websteder, samt flere operationer, herunder hack-and-leak-forummet "Free Civilian".
Microsoft har sporet Cadet Blizzard siden udrulningen af WhisperGate i januar 2022. Vi vurderer, at de har været i drift i en eller anden kapacitet siden mindst 2020 og fortsætter med at udføre netværksoperationer frem til i dag. I overensstemmelse med GRU-ledede operationers ansvarsområde og mål under Ruslands invasion af Ukraine har Cadet Blizzard udført fokuserede destruktive angreb, spionage og informationsoperationer i regionalt vigtige områder. Selvom Cadet Blizzards operationer er relativt mindre produktive i både omfang og rækkevidde end mere etablerede trusselsaktører som Seashell Blizzard, er de struktureret til at levere effekt og løber ofte risikoen for at hæmme kontinuiteten i netværksoperationer og afsløre følsomme oplysninger gennem målrettede hack-and-leak-operationer. De primære målsektorer er statslige organisationer og udbydere af informationsteknologi i Ukraine, men også organisationer i Europa og Latinamerika har været mål.
Microsoft har arbejdet tæt sammen med CERT-UA siden begyndelsen af Ruslands krig i Ukraine og fortsætter med at støtte landet og nabolandene med at beskytte sig mod cyberangreb som dem, der blev udført af Cadet Blizzard. Som med enhver observeret aktivitet fra en nation-stat-aktør, underretter Microsoft direkte og proaktivt kunder, der er blevet angrebet eller kompromitteret, og giver dem de oplysninger, de har brug for til at lede deres undersøgelser. Microsoft arbejder også aktivt sammen med medlemmer af det globale sikkerhedssamfund og andre strategiske partnere for at dele information, der kan imødegå denne voksende trussel gennem flere kanaler. Efter at have ophøjet denne aktivitet til et særskilt trusselsaktørnavn, deler vi denne information med det større sikkerhedsfællesskab for at give indsigt i at beskytte og afbøde Cadet Blizzard som en trussel. Organisationer bør aktivt tage skridt til at beskytte miljøer mod Cadet Blizzard, og denne blog har desuden til formål at omtale, hvordan man opdager og forhindrer afbrydelser.
Følg Microsoft