Získajte prehľady priamo od odborníkov v podcaste Microsoft Analýza hrozieb. Vypočuť si.
Na scénu nastupuje nový a príznačný ruský zdroj hrozby – Cadet Blizzard
Spoločnosť Microsoft odpovedá pokračujúcou spoluprácou s globálnymi partnermi, pričom odhaľovanie kybernetických prostriedkov ničenia a informačných operácií umožňuje lepšie pochopiť nástroje a techniky používané Ruskom sponzorovanými zdrojmi hrozieb. Ruské zdroje hrozieb v priebehu konfliktu nasadzujú širokú škálu prostriedkov ničenia s rôznymi úrovňami sofistikovanosti a účinnosti. To preukazuje rýchlosť, akou útočníci implementujú novátorské techniky počas hybridnej vojny, ako aj praktické obmedzenia realizácie deštrukčných kampaní, keď pri nich dôjde k významným operačným chybám a keď sa komunita zabezpečenia sústredí na obranu. Tieto poznatky pomáhajú výskumníkom neustále zdokonaľovať prostriedky na odhaľovanie a zmierňovanie rizík, ktoré slúžia na ochranu pred stále novými útokmi vedenými v čase vojny.
Microsoft Analýza hrozieb dnes zverejňuje aktuálne podrobnosti o technikách zdroja hrozby pôvodne označovaného ako DEV-0586. Ide o Ruskom sponzorovaný zdroj hrozby, ktorý bol teraz povýšený na názov Cadet Blizzard. Na základe nášho skúmania neoprávnených vniknutí vykonaných touto skupinou v priebehu posledného roka sme nadobudli vysokú dôveru v správnosť našej analýzy a poznatkov v súvislosti s nástrojmi, viktimológiou a motiváciou skupiny. Tým boli splnené kritériá na jej presun do kategórie pomenovaného zdroja hrozby.
Spoločnosť Microsoft usudzuje, že operácie skupiny Cadet Blizzard spadajú pod Ruskú vojenskú rozviedku (GRU), ale sú oddelené od iných známych a etablovanejších pričlenených skupín GRU, ktoré zahŕňajú napríklad Forest Blizzard (STRONTIUM) a Seashell Blizzard (IRIDIUM). Microsoft nepretržite sleduje viacero činných skupín s rôznymi stupňami pričlenenia k ruskej vláde, avšak nástup nového aktéra pričleneného ku GRU, ktorý navyše realizoval deštrukčné kybernetické operácie pravdepodobne podporujúce širšie vojenské ciele na Ukrajine, predstavuje významný vývoj na poli ruských kybernetických hrozieb. Mesiac pred inváziou Ruska na Ukrajinu skupina Cadet Blizzard naznačila budúce deštrukčné aktivity, keď vytvorila a nasadila WhisperGate – deštrukčný nástroj na vymazanie hlavných zavádzacích záznamov (MBR), ktorý bol namierený proti ukrajinským štátnym organizáciám. Cadet Blizzard je tiež prepojená s modifikáciou pôvodného obsahu (defacementom) webových lokalít viacerých ukrajinských organizácií, ako aj s viacerými operáciami vrátane fóra s názvom Free Civilian (Slobodný civilista), na ktorom boli zverejnené neoprávnene získané údaje (hack-and-leak).
Microsoft skupinu Cadet Blizzard sleduje od nasadenia nástroja WhisperGate v januári 2022. Predpokladáme, že skupina v istom rozsahu funguje minimálne od roku 2020 a pokračuje vo vykonávaní sieťových operácií až do súčasnosti. Cadet Blizzard koná v súlade so stanovenými cieľmi operácií pod vedením GRU počas invázie na Ukrajinu a je zapojená do sústredených deštrukčných útokov, špionáže a informačných operácií v oblastiach s regionálnym významom. Hoci majú operácie skupiny Cadet Blizzard v porovnaní s etablovanejšími zdrojmi hrozieb ako Seashell Blizzard menší rozsah a pôsobnosť, sú štruktúrované tak, aby mali dosah, pričom často ohrozujú kontinuitu sieťových operácií a odkrývajú citlivé informácie prostredníctvom cielených operácií typu hack-and-leak. Hlavné cieľové sektory zahŕňajú štátne organizácie a poskytovateľov informačných technológií na Ukrajine, medzi cieľmi skupiny však boli aj organizácie v Európe a Latinskej Amerike.
Spoločnosť Microsoft od začiatku ruskej agresie voči Ukrajine úzko spolupracuje s tímom CERT-UA a nepretržite podporuje Ukrajinu aj susedné štáty pri ochrane pred kybernetickými útokmi, ako sú napríklad aj útoky realizované skupinou Cadet Blizzard. Rovnako ako v prípade každej pozorovanej aktivity národno-štátneho činiteľa spoločnosť Microsoft priamo a proaktívne informuje zákazníkov, ktorí sa stali cieľom alebo boli napadnutí, a poskytuje im informácie potrebné na to, aby mohli viesť svoje vyšetrovania. Microsoft tiež aktívne spolupracuje s členmi globálnej komunity zabezpečenia a inými strategickými partnermi, s ktorými cez viacero kanálov zdieľa informácie užitočné na boj s touto stále sa vyvíjajúcou hrozbou. Keďže sme túto činnosť povýšili na pomenovaný zdroj hrozby, príslušné informácie zdieľame so širšou komunitou zabezpečenia s cieľom poskytnúť poznatky na ochranu pred skupinou Cadet Blizzard a zmiernenie hrozby, ktorú predstavuje. Organizácie by mali prijať opatrenia na ochranu prostredí pred skupinou Cadet Blizzard a tento blog poskytuje ďalšie informácie o tom, ako zistiť narušenie a zabrániť mu.
Sledujte Microsoft