Obtenez des informations directement des experts sur le podcast Microsoft Threat Intelligence. Écoutez maintenant.
Cadet Blizzard apparaît comme un nouvel acteur distinct de la menace russe
Microsoft continue de collaborer avec des partenaires internationaux pour répondre à cette situation. L'exposition de cyber-capacités destructrices et d'opérations d'information permet de mieux comprendre les outils et les techniques utilisés par les acteurs de la menace parrainés par l'État russe. Tout au long du conflit, les acteurs de la menace russes ont déployé une série de capacités destructrices avec différents niveaux de sophistication et d'impact, ce qui montre comment les acteurs malveillants mettent rapidement en œuvre de nouvelles techniques au cours d'une guerre hybride, ainsi que les limites pratiques de l'exécution de campagnes destructrices lorsque des erreurs opérationnelles significatives sont commises et que la communauté de la sécurité se mobilise pour la défense. Ces informations aident les chercheurs en sécurité à affiner en permanence les capacités de détection et d’atténuation afin de se défendre contre ces attaques qui évoluent dans un environnement de guerre.
Aujourd'hui, la Veille des menaces Microsoft communique des informations actualisées sur les techniques d'un acteur de la menace précédemment répertorié sous le nom de DEV-0586, un acteur de la menace distinct parrainé par l'État russe qui se nomme désormais Cadet Blizzard. L'enquête que nous avons menée sur leurs activités d'intrusion au cours de l'année écoulée nous a permis d'acquérir une grande confiance dans notre analyse et notre connaissance des outils, de la victimologie et de la motivation de l'acteur, ce qui répond aux critères permettant de convertir ce groupe en un acteur de menace nommé.
Microsoft estime que les opérations de Cadet Blizzard sont associées à la Direction principale du renseignement de l'état-major russe (GRU), mais qu'elles sont distinctes d'autres groupes connus et mieux établis affiliés au GRU, tels que Forest Blizzard (STRONTIUM) et Seashell Blizzard (IRIDIUM). Alors que Microsoft suit en permanence un certain nombre de groupes d'activité plus ou moins affiliés au gouvernement russe, l'émergence d'un nouvel acteur affilié au GRU, en particulier un acteur qui a mené des cyber-opérations destructrices susceptibles de soutenir des objectifs militaires plus larges en Ukraine, constitue un développement notable dans le paysage des cyber-menaces russes. Un mois avant que la Russie n'envahisse l'Ukraine, Cadet Blizzard a anticipé une future activité destructrice en créant et en déployant WhisperGate, une fonctionnalité destructrice qui efface les Master Boot Records (MBR), contre des organisations gouvernementales ukrainiennes. Cadet Blizzard est également lié à la dégradation de plusieurs sites web d'organisations ukrainiennes, ainsi qu'à de multiples opérations, dont le forum de piratage et de fuite connu sous le nom de « Free Civilian ».
Microsoft a suivi Cadet Blizzard depuis le déploiement de WhisperGate en janvier 2022. Nous estimons qu'ils sont opérationnels d'une manière ou d'une autre depuis au moins 2020 et qu'ils continuent d'assurer des opérations de réseau à l'heure actuelle. Conformément aux attributions et aux objectifs évalués des opérations menées par le GRU tout au long de l'invasion de l'Ukraine par la Russie, Cadet Blizzard a mené des attaques destructrices ciblées, des activités d'espionnage et des opérations d'information dans des zones importantes sur le plan régional. Les opérations de Cadet Blizzard, bien qu'elles soient comparativement moins prolifiques en termes d'échelle et de portée que celles d'acteurs de menace plus établis tels que Seashell Blizzard, sont structurées de manière à avoir un impact et risquent fréquemment d'entraver la continuité des opérations réseau et d'exposer des informations sensibles par le biais d'opérations ciblées de piratage et de fuite. Les principaux secteurs visés sont les organisations gouvernementales et les fournisseurs de technologies de l'information en Ukraine, bien que des organisations en Europe et en Amérique latine aient également été ciblées.
Microsoft collabore étroitement avec le CERT-UA depuis le début de la guerre de la Russie en Ukraine et continue d'aider le pays et les États voisins à se protéger contre les cyberattaques, telles que celles menées par Cadet Blizzard. Comme pour toute activité observée d'un acteur étatique, Microsoft notifie directement et de manière proactive les clients qui ont été ciblés ou compromis, en leur fournissant les informations dont ils ont besoin pour mener leurs enquêtes. Microsoft travaille également activement avec les membres de la communauté mondiale de la sécurité et d'autres partenaires stratégiques pour partager des informations qui peuvent répondre à cette menace évolutive par le biais de plusieurs canaux. Ayant élevé cette activité au rang d'acteur de menace distinct, nous partageons ces informations avec l'ensemble de la communauté de la sécurité afin de fournir des idées pour protéger et atténuer la menace que représente Cadet Blizzard. Les organisations doivent prendre des mesures actives pour protéger les environnements contre Cadet Blizzard, et ce blog a pour but de discuter de la façon de détecter et de prévoir les perturbations.
Suivez Microsoft