Obtenha informações diretamente de especialistas no Podcast Informações sobre Ameaças da Microsoft. Ouvir agora.
O Cadete Blizzard surge como um novo e distinto ator de ameaças russo
A Microsoft continua a colaborar com parceiros globais em resposta, enquanto a exposição de capacidades cibernéticas destrutivas e as operações de informação fornecem maior clareza sobre as ferramentas e técnicas utilizadas pelos atores de ameaças patrocinados pelo estado russo. Ao longo do conflito, os atores de ameaças russos implementaram uma variedade de capacidades destrutivas com diferentes níveis de sofisticação e impacto, o que demonstra como os atores maliciosos implementam rapidamente novas técnicas durante uma guerra híbrida, juntamente com as limitações práticas da execução de campanhas destrutivas quando são cometidos erros operacionais significativos e a comunidade de segurança se reúne em torno da defesa. Estas informações ajudam os investigadores de segurança a aperfeiçoar continuamente as capacidades de deteção e mitigação para se defenderem contra esses ataques à medida que evoluem num ambiente de guerra.
Hoje, as Informações sobre Ameaças da Microsoft estão a partilhar detalhes atualizados sobre as técnicas de um ator de ameaças anteriormente monitorizado como DEV-0586, um ator de ameaças distinto patrocinado pelo estado russo que foi agora elevado ao nome de Cadet Blizzard. Como resultado da nossa investigação sobre a sua atividade de intrusão ao longo do último ano, obtivemos um elevado nível de confiança na nossa análise e conhecimento das ferramentas, vitimologia e motivação do ator, cumprindo os critérios para converter este grupo num ator de ameaças designado.
A Microsoft considera que as operações do Cadet Blizzard estão associadas à Direção Central do Estado-Maior das Forças Armadas da Rússia (GRU) mas estão separadas de outros grupos conhecidos e mais estabelecidos afiliados ao GRU, como o Forest Blizzard (STRONTIUM) e o Seashell Blizzard (IRIDIUM). Embora a Microsoft monitorize constantemente uma série de grupos de atividade com diferentes graus de afiliação ao governo russo, o aparecimento de um novo ator afiliado ao GRU, em particular um que tenha conduzido operações cibernéticas destrutivas, provavelmente em apoio a objetivos militares mais amplos na Ucrânia, é um desenvolvimento notável no panorama da ameaça cibernética russa. Um mês antes de a Rússia invadir a Ucrânia, o Cadet Blizzard prenunciou uma futura atividade destrutiva quando criou e implementou o WhisperGate, uma capacidade destrutiva que elimine todos os dados dos Master Boot Records (MBRs), contra organizações governamentais ucranianas. O Cadet Blizzard está também ligado à destruição de vários sites de organizações ucranianas, bem como a múltiplas operações, incluindo o fórum de "hack-and-leak" conhecido como "Free Civilian".
A Microsoft tem monitorizado o Cadet Blizzard desde a implementação do WhisperGate em janeiro de 2022. Consideramos que se encontram operacionais, de alguma forma, desde pelo menos 2020 e continuam a efetuar operações de rede até ao presente dia. Operacionalmente coerente com o mandato e os objetivos avaliados das operações lideradas pelo GRU durante a invasão russa da Ucrânia, o Cadet Blizzard participou em ataques destrutivos concentrados, espionagem e operações de informação em áreas regionalmente significativas. As operações do Cadet Blizzard, embora comparativamente menos prolíficas, tanto em escala como em âmbito, do que as de atores de ameaças mais estabelecidos, como o Seashell Blizzard, estão estruturadas para causar impacto e incorrem frequentemente no risco de dificultar a continuidade das operações de rede e expor informações confidenciais através de operações de "hack-and-leak" direcionadas. Os principais setores visados incluem organizações governamentais e fornecedores de tecnologias de informação na Ucrânia, embora também tenham sido visadas organizações na Europa e na América Latina.
A Microsoft tem estado a trabalhar em estreita colaboração com o CERT-UA desde o início da guerra da Rússia na Ucrânia e continua a apoiar o país e os estados vizinhos na proteção contra ciberataques, como os levados a cabo pelo Cadet Blizzard. Tal como acontece com qualquer atividade observada de um ator do estado-nação, a Microsoft notifica direta e proativamente os clientes que foram visados ou comprometidos, fornecendo-lhes as informações necessárias para orientarem as suas investigações. A Microsoft também está a trabalhar ativamente com membros da comunidade de segurança global e outros parceiros estratégicos para partilhar informações que possam responder a esta ameaça em evolução através de múltiplos canais. Tendo elevado esta atividade a um nome designado de ator de ameaça, estamos a partilhar esta informação com a comunidade de segurança em geral, de modo a fornecer informações que permitam proteger e mitigar o Cadet Blizzard, na sua qualidade de ameaça. As organizações devem tomar medidas ativas para proteger os ambientes contra o Cadet Blizzard, e este blogue pretende ainda discutir como detetar e evitar a disrupção.
Siga a Microsoft