קבל תובנות ישירות מהמומחים בפודקאסט של בינת האיומים של Microsoft. האזן עכשיו.
Cadet Blizzard עולה כגורם איום רוסי חדש ומובחן
Microsoft ממשיכה לשתף פעולה עם שותפים גלובליים בתגובה, החשיפה של יכולות סייבר הרסניות ופעולות מידע, מספקת בהירות רבה יותר לתוך הכלים והטכניקות שמשמשים את גורמי האיום בחסון מדינת רוסיה. לאורך הקונפליקט, גורמי האיום הרוסיים פרסו מגוון של יכולות הרסניות ברמות משתנות של תחכום והשפעה, אשר הציגו לראווה את האופן שבו גורמים זדוניים מטמיעים באופן חוזר ונשנה טכניקות חדשות במהלך מלחמה היברידית, יחד עם מגבלות פרקטיות של הוצאה לפועל של קמפיינים הרסניים כאשר מבוצעות שגיאות ביצועיות משמעותיות וקהילת האבטחה מסתמכת סביב הגנה. תובנות אלה עוזרו למחקרי אבטחה להמשיך ולמקד את יכולות הזיהוי והסיוע כדי להגן מפני מתקפות מסוג זה בשעה שהן מפתחות בסביבת מלחמה.
כיום, בינת האיומים של Microsoft משתפת פרטים מעודכנים לגבי טכניקות של גורם איום שזיהוי העוקב שלו היה בעבר DEV-0586—גורם איום מובחן בחסות מדינת רוסיה שעכשיו שדרג את שמו ל- Cadet Blizzard. כתוצאה מהחקירה שלנו לתוך הפעילות המשבשת שלהם לאורך השנה האחרונה, השגנו ביטחון רב בניתוחים ובידע שלנו לגבי הכלים של הגורם, קרבנות הפשע והמוטיבציה שלנו, שעונים על הקריטריון להמרה של קבוצה זו לגורם איום בעל שם.
Microsoft מעריכה כי הפעולות של Cadet Blizzard משויכות למינהל הראשי של המטה הכללי הרוסי (GRU) אך הן נפרדות מקבוצות מוכרות ומבוססות יותר אחרות שמשויכות ל- GRU, כגון Forest Blizzard (STRONTIUM) ו- Seashell Blizzard (IRIDIUM). בשעה ש- Microsoft עוקבת ללא הרף אחר מספק של קבוצות פעילות ברמות משתנות של שייכות של הממשלה הרוסית, ההופעה של גורם חדש שמשויך ל- GRU, במיוחד גורם שביצע פעולות סייבר משבשות, שככל הנראה תומך במטרות צבאיות רחבות יותר באוקראינה, הוא התפתות ראויה לציון הנוף איומי הסייבר הרוסי. חודש לפני שרוסיה פלשה לאוקראינה, קבוצת Cadet Blizzard בישרה על פעילות משבשת עתידית כשהיא יצאה ופרסה תוכנת WhisperGate, יכולת משבשת שמשמידה Master Boot Records (MBRs), נגד ארגונים של ממשלמת אוקראינה. Cadet Blizzard מקושרת גם להשחתה של מספר אתרי אינטרנט של ארגונים אוקראיניים, וכן מספר פעולות, לרבות פורום הפריצה וההדלפה שמוכר בשם “Free Civilian”.
Microsoft עקבה אחר Cadet Blizzard מאז הפריסה של WhisperGate בינואר 2022. אנו מעריכים שהם פעלו בקיבולת מסוימת לפחות משנת 2020 וממשיכים לבצע פעולות רשת עד להווה. Cadet Blizzard, שמקפידה לפעול בעקביות עם השחרור והמטרות המשוערות של פעולות בהובלת GRU לאורך הפלישה הרוסית לאוקראינה, הייתה מעורבת המתקפות הרסניות ממוקדות, ריגול ופעולות מידע בתחומים אזוריים בעלי חשיבות. הפעולות של Cadet Blizzard, למרות היותר פחות פורות באופן יחסי הן בהיבט קנה המידה והן בהיקף לעומת גורמי איומים מבוססים יותר כגון Seashell Blizzard, מובנות לספק השפעה ולהפעיל בתדירות גבוהה את הסיכון בעיכוב מתמשך של פעולות רשת וחשיפת מידע רגיש בפעולות פריצה והדלפה ייעודיות. מגזרים עיקריים מיועדים כוללים ארגונים ממשלתיים וספקי טכנולוגיות מידע באוקראינה, על אף שארגונים באירופה ובאמריקה הלטינית גם היוו יעד.
Microsoft עבדה עם CERT-UA בצמוד מתחילת המלחמה של רוסיה באוקראינה וממשיכה לתמוך במדינה ומדינות השכנות שלה בהגנה מפני מתקפות סייבר, כגון אלו שביצעה Cadet Blizzard. בדומה לכל פעילות של שחקן מדינת לאום נצפית, Microsoft מיידעת את הלקוחות באופן ישיר ויזום אם הם הפכו ליעד או נחשפו לסכנה, כדי לספק להם את המידע שנחוץ להם להובלת החקירה שלהם. Microsoft גם עובדת באופן פעיל עם חברים של קהילת האבטחה הגלובלית ועם שותפים אסטרטגיים אחרים כדי לשתף מידע שיכול לטפל באיום מתפתח זה דרך ערוצים מרובים. לאחר שהצפנו פעילות זו לשם של גורם איום מובחן, אנחנו משתפים את המידע הזה עם קהילת אבטחה גדולה יותר כדי לספק תובנות כדי להגן ולהקל על Cadet Blizzard כאיום. ארגונים צריכים לנקוט בצעדים פעילים כדי להגן על סביבות מפני Cadet Blizzard, והבלוג הזה מתכוון להמשיך לדון באופן הזיהוי והמניעה של שיבוש.
עקוב אחר Microsoft