Λάβετε πληροφορίες απευθείας από τους ειδικούς στο podcast των Πληροφοριών της Microsoft σχετικά με απειλές. Ακούστε τώρα.
Η Cadet Blizzard αναδύεται ως ένας νέος και ξεχωριστός παράγοντας ρωσικής απειλής
και η Microsoft συνεχίζει να συνεργάζεται με παγκόσμιους εταίρους για την αντιμετώπισή της, η αποκάλυψη των καταστροφικών δυνατοτήτων στον κυβερνοχώρο και των επιχειρήσεων πληροφοριών παρέχει μεγαλύτερη σαφήνεια σχετικά με τα εργαλεία και τις τεχνικές που χρησιμοποιούν οι ρωσικοί κρατικά υποστηριζόμενοι παράγοντες απειλής. Καθ' όλη τη διάρκεια της σύγκρουσης, οι ρωσικοί παράγοντες απειλής έχουν αναπτύξει μια ποικιλία καταστροφικών δυνατοτήτων με διαφορετικά επίπεδα πολυπλοκότητας και αντίκτυπου, τα οποία αναδεικνύουν τον τρόπο με τον οποίο οι κακόβουλοι παράγοντες εφαρμόζουν γρήγορα νέες τεχνικές κατά τη διάρκεια ενός υβριδικού πολέμου, καθώς και τους πρακτικούς περιορισμούς της εκτέλεσης καταστροφικών εκστρατειών όταν γίνονται σημαντικά επιχειρησιακά λάθη και η κοινότητα ασφαλείας συσπειρώνεται γύρω από την άμυνα. Αυτές οι γνώσεις βοηθούν τους ερευνητές ασφάλειας να βελτιώνουν συνεχώς τις δυνατότητες ανίχνευσης και μετριασμού για να αμυνθούν απέναντι σε τέτοιες επιθέσεις, καθώς αυτές εξελίσσονται σε περιβάλλον πολέμου.
Σήμερα, οι Πληροφορίες της Microsoft σχετικά με απειλές μοιράζονται ενημερωμένες λεπτομέρειες σχετικά με τις τεχνικές ενός φορέα απειλών που προηγουμένως είχε εντοπιστεί ως DEV-0586, ένας ξεχωριστός ρωσικός κρατικά χρηματοδοτούμενος παράγοντας απειλής που έχει πλέον αναβαθμιστεί με το όνομα Cadet Blizzard. Ως αποτέλεσμα της έρευνάς μας σχετικά με τη δραστηριότητα εισβολής τους κατά τη διάρκεια του περασμένου έτους, έχουμε αποκτήσει μεγάλη εμπιστοσύνη στην ανάλυση και τη γνώση των εργαλείων, της θυματολογίας και των κινήτρων του παράγοντα, ικανοποιώντας τα κριτήρια για τη μετατροπή αυτής της ομάδας σε επώνυμο παράγοντα απειλής.
Η Microsoft εκτιμά ότι οι επιχειρήσεις της Cadet Blizzard συνδέονται με την Κύρια Διεύθυνση Πληροφοριών του ρωσικού Γενικού Επιτελείου (GRU), αλλά είναι ξεχωριστές από άλλες γνωστές και πιο καθιερωμένες ομάδες που συνδέονται με την GRU, όπως η Forest Blizzard (STRONTIUM) και η Seashell Blizzard (IRIDIUM). Ενώ η Microsoft παρακολουθεί συνεχώς διάφορες ομάδες δραστηριότητας με διαφορετικό βαθμό σύνδεσης με τη ρωσική κυβέρνηση, η εμφάνιση ενός νέου παράγοντα που συνδέεται με τη GRU, ιδίως ενός που έχει διεξάγει καταστροφικές επιχειρήσεις στον κυβερνοχώρο, οι οποίες πιθανότατα υποστηρίζουν ευρύτερους στρατιωτικούς στόχους στην Ουκρανία, αποτελεί αξιοσημείωτη εξέλιξη στο τοπίο των ρωσικών απειλών στον κυβερνοχώρο. Ένα μήνα πριν από την εισβολή της Ρωσίας στην Ουκρανία, η Cadet Blizzard προανήγγειλε μελλοντική καταστροφική δραστηριότητα όταν δημιούργησε και ανέπτυξε το WhisperGate, μια καταστροφική δυνατότητα που σβήνει τις Κύριες Εγγραφές Εκκίνησης (Master Boot Records - MBR), εναντίον ουκρανικών κυβερνητικών οργανισμών. Η Cadet Blizzard συνδέεται επίσης με τις αλλοιώσεις πολλών ιστοσελίδων ουκρανικών οργανώσεων, καθώς και με πολλαπλές επιχειρήσεις, συμπεριλαμβανομένου του φόρουμ hack-and-leak (δικτυοπαραβίαση και διαρροή) που είναι γνωστό ως "Free Civilian".
Η Microsoft παρακολουθεί την Cadet Blizzard από την εγκατάσταση του WhisperGate τον Ιανουάριο του 2022. Εκτιμούμε ότι λειτουργούν με κάποια ιδιότητα τουλάχιστον από το 2020 και συνεχίζουν να εκτελούν λειτουργίες δικτύου μέχρι σήμερα. Επιχειρησιακά σύμφωνη με την αποστολή και τους εκτιμώμενους στόχους των επιχειρήσεων υπό την ηγεσία της GRU καθ' όλη τη διάρκεια της εισβολής της Ρωσίας στην Ουκρανία, η Cadet Blizzard συμμετείχε σε εστιασμένες καταστροφικές επιθέσεις, κατασκοπεία και επιχειρήσεις πληροφοριών σε περιφερειακά σημαντικές περιοχές. Οι επιχειρήσεις της Cadet Blizzard, αν και συγκριτικά λιγότερο παραγωγικές τόσο σε κλίμακα όσο και σε έκταση σε σχέση με πιο εδραιωμένους παράγοντες απειλών, όπως η Seashell Blizzard, είναι δομημένες για να έχουν αντίκτυπο και συχνά διατρέχουν τον κίνδυνο να παρεμποδίσουν τη συνέχεια των λειτουργιών του δικτύου και να εκθέσουν ευαίσθητες πληροφορίες μέσω στοχευμένων επιχειρήσεων hack-and-leak (δικτυοπαραβίαση και διαρροή). Στους κύριους στοχευόμενους τομείς περιλαμβάνονται κυβερνητικοί οργανισμοί και πάροχοι τεχνολογίας πληροφοριών στην Ουκρανία, αν και έχουν επίσης στοχοποιηθεί οργανισμοί στην Ευρώπη και τη Λατινική Αμερική.
Η Microsoft συνεργάζεται στενά με το CERT-UA από την αρχή του πολέμου της Ρωσίας στην Ουκρανία και συνεχίζει να υποστηρίζει τη χώρα και τα γειτονικά κράτη στην προστασία από επιθέσεις στον κυβερνοχώρο, όπως αυτές που πραγματοποίησε η Cadet Blizzard. Όπως σε κάθε παρατηρούμενη δραστηριότητα εθνικού παράγοντα, η Microsoft ενημερώνει άμεσα και προληπτικά τους πελάτες που έχουν στοχοποιηθεί ή παραβιαστεί, παρέχοντάς τους τις πληροφορίες που χρειάζονται για να καθοδηγήσουν τις έρευνές τους. Η Microsoft συνεργάζεται επίσης ενεργά με μέλη της παγκόσμιας κοινότητας ασφάλειας και άλλους στρατηγικούς εταίρους για την ανταλλαγή πληροφοριών που μπορούν να αντιμετωπίσουν αυτή την εξελισσόμενη απειλή μέσω πολλαπλών καναλιών. Έχοντας αναγάγει αυτή τη δραστηριότητα σε ξεχωριστό όνομα παράγοντα απειλής, μοιραζόμαστε αυτές τις πληροφορίες με την ευρύτερη κοινότητα ασφαλείας για να παράσχουμε πληροφορίες για την προστασία και τον μετριασμό της Cadet Blizzard ως απειλής. Οι οργανισμοί θα πρέπει να λαμβάνουν ενεργά μέτρα για την προστασία των περιβαλλόντων από την Cadet Blizzard, και αυτό το blog στοχεύει περαιτέρω να συζητήσει τον τρόπο ανίχνευσης και αποτροπής των διαταραχών.
Ακολουθήστε τη Microsoft