Cadet Blizzard duikt op als een nieuwe en afzonderlijke Russische bedreigingsactor
Microsoft blijft samenwerken met globale partners in reactie. De blootstelling van vernietigende cybercapaciteiten en informatieoperaties bieden meer duidelijkheid in de hulpmiddelen en technieken die door de Russische staat gesponsorde bedreigingsactoren gebruiken. Gedurende het conflict hebben Russische bedreigingsactoren een verscheidenheid aan vernietigende capaciteiten ingezet met wisselende niveaus geavanceerdheid en impact. Deze laten goed zien hoe kwaadaardige actoren snel nieuwe technieken kunnen inzetten tijdens een hybride oorlog. Daarnaast zijn er ook praktische beperkingen door de uitvoering van vernietigende campagnes wanneer er aanzienlijke operationele fouten worden gemaakt en de beveiligingscommunity zich richt op de verdediging. Deze inzichten helpen beveiligingsonderzoekers om voortdurend detectie- en beperkingscapaciteiten te verfijnen, zodat ze kunnen verdedigen tegen aanvallen die zich ontwikkelen in een omgeving van oorlog.
Vandaag deelt Microsoft Bedreigingsinformatie bijgewerkte details over technieken van een bedreigingsactor die voorheen bekend stond als DEV-0586, een afzonderlijke bedreigingsactor die wordt gesponsord door de Russische staat en nu bekend staat onder de naam Cadet Blizzard. Als gevolg van ons onderzoek naar hun inbreukactiviteiten in het afgelopen jaar, hebben we groot vertrouwen in onze analyse en kennis van de hulpmiddelen van de actor, hoe ze slachtoffers uitzoeken (victimologie) en wat de drijfveren zijn. Ze voldoen aan de criteria om de actor uit te roepen tot een benoemde bedreigingsactor.
Microsoft beoordeelt dat de activiteiten van Cadet Blizzard zijn gerelateerd aan de Russische militaire inlichtingendienst, de GROe. Ze zijn echter afzonderlijk van andere (beter) bekende groepen die aan de GROe zijn gerelateerd, zoals Forest Blizzard (STRONTIUM) en Seashell Blizzard (IRIDIUM). Microsoft volgt voortdurend een aantal activiteitengroepen die verschillende maten van betrokkenheid hebben met de Russische regering. De opkomst van een nieuwe GROe-gerelateerde actor, vooral een actor die vernietigende cyberactiviteiten heeft uitgevoerd zoals waarschijnlijk het breed ondersteunen van militaire doelen in Oekraïne, is echter een opmerkelijke ontwikkeling in het Russische landschap van cyberbedreiging. Een maand voordat Rusland Oekraïne binnenviel, kondigde Cadet Blizzard al toekomstige vernietigende activiteit aan met de aanmaak en inzet van WhisperGate. Dit is een vernietigende capaciteit die de master boot records (MBR's) wist, gebruikt tegen Oekraïense overheidsorganisaties. Cadet Blizzard wordt ook gekoppeld aan de bekladding (het 'defacen') van meerdere website van Oekraïense organisaties en meerdere andere activiteiten, inclusief een forum voor hacken en lekken onder de naam 'Free Civilian'.
Microsoft heeft Cadet Blizzard gevolgd sinds de inzet van WhisperGate in januari 2022. We stellen vast dat ze minstens sinds 2020 operationeel zijn in de een of andere hoedanigheid en dat ze nog steeds netwerkoperaties uitvoeren. Cadet Blizzard was betrokken bij gerichte vernietigende aanvallen, spionage en informatieoperaties in regionaal belangrijke gebieden. Dit is operationeel in lijn met de taken en beoordeelde doelen van door de GROe geleide operaties gedurende de Russische invasie van Oekraïne. De operaties van Cadet Blizzard, hoewel in vergelijking minder succesvol qua schaal en bereik dan beter bekende bedreigingsactoren zoals Seashell Blizzard, zijn gestructureerd om impact uit te oefenen. Ze zijn vaak gericht op het belemmeren van de continuïteit van netwerkoperaties en het blootstellen van gevoelige informatie via gerichte operaties met hacken en lekken. Primair aangevallen sectoren zijn onder andere overheidsorganisaties en providers van informatietechnologie in Oekraïne. Organisaties in Europa en Latijns-Amerika zijn echter ook doelwit geweest.
Microsoft heeft sinds het begin van de oorlog van Rusland in Oekraïne nauw samengewerkt met CERT-UA en gaat door met het ondersteunen van het land en omringende staten ter bescherming tegen cyberaanvallen zoals die van Cadet Blizzard. Zoals met alle geobserveerde activiteiten van een natiestaat als actor (een 'nation-state actor'), brengt Microsoft direct en proactief klanten op de hoogte die zijn aangevallen of gecompromitteerd. Daarbij wordt informatie geboden die ze nodig hebben als richtlijnen voor hun onderzoeken. Microsoft werkt ook actief samen met leden van de globale beveiligingscommunity en andere strategische partners om informatie te delen die deze ontwikkelende bedreiging via meerdere kanalen kan aanpakken. Nu we de actor van de bedreigende activiteiten een naam hebben gegeven, delen we deze informatie met de grotere beveiligingscommunity. We bieden inzichten om te beveiligen tegen Cadet Blizzard en om de bedreiging te beperken. Organisaties moeten actief stappen nemen om omgevingen te beveiligen tegen Cadet Blizzard. Het doel van dit blog is om nader te bespreken hoe je verstoringen kunt detecteren en voorkomen.
Volg Microsoft Beveiliging