Im Microsoft Threat Intelligence-Podcast erfahren Sie wichtige Erkenntnisse direkt von den Experten selbst. Jetzt anhören
Cadet Blizzard erweist sich als neuer und eindeutiger russischer Bedrohungsakteur
Microsoft arbeitet weiterhin mit globalen Partnern zusammen, um auf Bedrohungen zu reagieren. Die Aufdeckung von destruktiven Cyberressourcen und Informationsoperationen bringt mehr Klarheit über die Werkzeuge und Techniken, die von staatlich gesponserten russischen Bedrohungsakteuren eingesetzt werden. Während des gesamten Konflikts setzten russische Bedrohungsakteure eine Vielzahl zerstörerischer Mittel mit unterschiedlichem Grad an Raffinesse und Wirkung ein, was zeigt, wie böswillige Akteure in einer hybriden Kriegsführung schnell neue Techniken einsetzen und welche praktischen Grenzen bei der Durchführung zerstörerischer Kampagnen bestehen, wenn große operative Fehler gemacht werden und die Sicherheitsgemeinschaft sich zur Verteidigung zusammenschließt. Diese Erkenntnisse helfen Sicherheitsforschern, die Erkennungs- und Entschärfungsfunktionen zur Abwehr von Angriffen, wie sie sich in einem kriegerischen Umfeld entwickeln, ständig zu verfeinern.
Heute veröffentlicht Microsoft Threat Intelligence aktualisierte Informationen zu den Techniken eines Bedrohungsakteurs, der bislang unter der Bezeichnung DEV-0586 beobachtet wurde. Dabei handelt es sich um einen eindeutig von Russland finanzierten Bedrohungsakteur, der jetzt den Namen Cadet Blizzard trägt. Durch die Untersuchung seiner Eindringaktivitäten im vergangenen Jahr haben wir ein hohes Maß an Vertrauen in unsere Analysen und unser Wissen über die Werkzeuge, die Viktimologie und die Motivation des Akteurs gewonnen, die Anlass zur Umwandlung dieser Gruppe in einen benannten Bedrohungsakteur gaben.
Microsoft geht davon aus, dass die Operationen von Cadet Blizzard mit dem GRU (Hauptverwaltung des Generalstabes der Streitkräfte der Russischen Föderation) in Verbindung stehen, aber nicht mit anderen bekannten und etablierteren GRU-bezogenen Gruppen wie Forest Blizzard (STRONTIUM) und Seashell Blizzard (IRIDIUM). Microsoft beobachtet zwar kontinuierlich eine Reihe aktiver Gruppen, die in unterschiedlichem Maße mit der russischen Regierung in Verbindung stehen, doch das Auftauchen eines neuen Akteurs, der mit der GRU in Verbindung steht und insbesondere destruktive Cyber-Operationen durchgeführt hat, die wahrscheinlich umfassendere militärische Ziele in der Ukraine unterstützten, ist eine auffällige Entwicklung in der russischen Cyber-Bedrohungslandschaft. Einen Monat vor dem Einmarsch Russlands in die Ukraine gab Cadet Blizzard einen Vorgeschmack auf zukünftige destruktive Aktivitäten, als er WhisperGate entwickelte und einsetzte, eine zerstörerische Funktion zum Löschen von Master Boot Records (MBRs), die gegen ukrainische Regierungsorganisationen gerichtet ist. Cadet Blizzard wird auch mit der Verunstaltung mehrerer Websites ukrainischer Organisationen und mit verschiedenen anderen Operationen in Verbindung gebracht, darunter das Hacker- und Leakforum, das unter dem Namen "Free Civilian" bekannt ist.
Microsoft beobachtet Cadet Blizzard seit der Entwicklung von WhisperGate im Januar 2022. Wir gehen davon aus, dass der Bedrohungsakteur mindestens seit 2020 in der einen oder anderen Form aktiv ist und auch weiterhin Netzaktivitäten durchführt. In Übereinstimmung mit dem Auftrag und den Zielen der GRU-Operationen während der russischen Invasion in der Ukraine führte Cadet Blizzard gezielte Zerstörungs-, Spionage- und Informationsoperationen in Gebieten von regionaler Bedeutung durch. Die Operationen von Cadet Blizzard sind zwar weniger umfangreich und weitreichend als die von etablierteren Bedrohungsakteuren wie Seashell Blizzard, sie sind jedoch so strukturiert, dass sie Wirkung zeigen und häufig das Risiko bergen, die Kontinuität von Netzwerkoperationen zu beeinträchtigen und sensible Informationen durch gezielte Hackerangriffe und Leak-Operationen preiszugeben. Zu den wichtigsten Zielsektoren gehören Regierungsorganisationen und Anbieter von Informationstechnologie in der Ukraine, aber auch Organisationen in Europa und Lateinamerika wurden ins Visier genommen.
Microsoft arbeitet seit Beginn des russischen Krieges in der Ukraine eng mit CERT-UA zusammen und unterstützt das Land und seine Nachbarstaaten weiterhin beim Schutz vor Cyber-Angriffen wie jenen von Cadet Blizzard. Wie bei allen beobachteten Aktivitäten staatlicher Akteure benachrichtigt Microsoft direkt und proaktiv Kunden, die ins Visier genommen oder kompromittiert wurden, und stellt ihnen die Informationen zur Verfügung, die sie für ihre Untersuchungen benötigen. Microsoft arbeitet auch aktiv mit Mitgliedern der globalen Sicherheitsgemeinschaft und anderen strategischen Partnern zusammen, um Informationen auszutauschen, mit denen dieser sich entwickelnden Bedrohung über verschiedene Kanäle begegnet werden kann. Nachdem wir diese Aktivität einem eindeutigen Bedrohungsakteur zugeordnet haben, geben wir diese Informationen an die gesamte Sicherheitsgemeinschaft weiter, um Erkenntnisse zum Schutz und zur Eindämmung der Bedrohung durch Cadet Blizzard bereitzustellen. Unternehmen sollten aktiv Maßnahmen ergreifen, um ihre Umgebungen vor Cadet Blizzard zu schützen. In diesem Blog wird erörtert, wie Angriffe erkannt und verhindert werden können.
Microsoft folgen