Pridobite vpoglede neposredno od strokovnjakov v poddaji skupnosti Obveščanje o grožnjah Microsoft. Prisluhnite zdaj.
Kadet Blizzard se pojavlja kot nov in poseben ruski akter groženj
Microsoft pri odzivanju še naprej sodeluje z globalnimi partnerji, razkritje uničujočih kibernetskih zmogljivosti in informacijskih operacij pa zagotavlja večjo preglednost glede orodij in tehnik ruskih akterjev groženj, ki jih sponzorira država. Ruski akterji so v času spora uporabili različne uničevalne zmogljivosti z različnimi stopnjami izpopolnjenosti in učinka, kar kaže, kako zlonamerni akterji med hibridno vojno hitro izvajajo nove tehnike in kakšne so praktične omejitve izvajanja uničevalnih kampanj, ko pride do pomembnih operativnih napak ter se varnostna skupnost zbere za obrambo. Ta spoznanja pomagajo varnostnim raziskovalcem nenehno izboljševati zmogljivosti za odkrivanje in ublažitev za obrambo pred takšnimi napadi, ki se razvijajo v vojnem okolju.
Skupnost Obveščanje o grožnjah Microsoft je danes objavila posodobljene podrobnosti o tehnikah povzročitelja groženj, ki so ga prej spremljali pod imenom DEV-0586 – gre za posebnega ruskega državno sponzoriranega povzročitelja groženj, ki je bil zdaj preimenovan v Cadet Blizzard. Zaradi svojih preiskav njihovih vdorov v zadnjem letu smo pridobili veliko stopnjo zaupanja v svoje analize in znanje o orodjih, viktimologiji ter motivaciji tega akterja in izpolnili merila za pretvorbo te skupine v imenovanega akterja groženj.
Microsoft ocenjuje, da so operacije skupine Cadet Blizzard povezane z glavno obveščevalno službo ruskega generalštaba (GRU), vendar so ločene od drugih znanih in bolj uveljavljenih skupin, povezanih z GRU-jem, kot sta Forest Blizzard (STRONTIUM) in Seashell Blizzard (IRIDIUM). Čeprav Microsoft nenehno spremlja številne skupine z različnimi stopnjami povezanosti z rusko vlado, je pojav novega akterja, povezanega z GRU-jem, zlasti tistega, ki je izvajal uničujoče kibernetske operacije in verjetno podpiral širše vojaške cilje v Ukrajini, pomemben dogodek na področju ruskih kibernetskih groženj. Mesec dni pred ruskim napadom na Ukrajino je skupina Cadet Blizzard napovedala prihodnje destruktivne dejavnosti,usmerjene proti ukrajinskim vladnim organizacijam, ko je ustvarila in namestila program WhisperGate, destruktivno zmogljivost, ki briše glavne zagonske zapise (MBR). Skupina Cadet Blizzard je povezana tudi s poškodovanjem več spletnih strani ukrajinskih organizacij in številnimi operacijami, vključno s forumom »hack-and-leak«, znanim pod imenom »Free Civilian«.
Microsoft je skupino Cadet Blizzard spremljal od uvedbe sistema WhisperGate januarja 2022. Ocenjujemo, da v določeni meri delujejo vsaj od leta 2020 in da še vedno izvajajo omrežne operacije. V skladu s pristojnostmi in ocenjenimi cilji operacij pod vodstvom GRU-ja v času ruske invazije na Ukrajino je skupina Cadet Blizzard izvajala usmerjene uničevalne napade, vohunjenje in informacijske operacije na regionalno pomembnih območjih. Čeprav so operacije skupine Cadet Blizzard v primerjavi z bolj uveljavljenimi akterji groženj, kot je Seashell Blizzard, po obsegu sorazmerno manj plodne, so strukturirane tako, da zagotavljajo učinek, in pogosto tvegajo oviranje neprekinjenega delovanja omrežja ter izpostavljanje občutljivih informacij z usmerjenimi operacijami vdora in uhajanja. Glavni ciljni sektorji so vladne organizacije in ponudniki informacijske tehnologije v Ukrajini, čeprav so bile tarča tudi organizacije v Evropi in Latinski Ameriki.
Microsoft že od začetka ruske vojne v Ukrajini tesno sodeluje z organizacijo CERT-UA in še naprej podpira državo ter sosednje države pri zaščiti pred kibernetskimi napadi, kot je bil napad skupine Cadet Blizzard. Tako kot pri vseh opaženih dejavnostih državnih akterjev Microsoft neposredno in proaktivno obvešča stranke, ki so bile tarča napadov ali kompromitirane, ter jim zagotavlja informacije, ki jih potrebujejo za vodenje preiskav. Microsoft aktivno sodeluje tudi s člani svetovne varnostne skupnosti in z drugimi strateškimi partnerji, da bi po različnih kanalih delil informacije, s katerimi se lahko spopademo s to razvijajočo se grožnjo. Po tem, ko smo to dejavnost povzdignili tako, da smo posebej imenovali akterja grožnje, te informacije delimo s širšo varnostno skupnostjo, da bi zagotovili vpogled v zaščito in zmanjšanje nevarnosti, ki jo predstavlja Cadet Blizzard. Organizacije bi morale dejavno sprejeti ukrepe za zaščito okolja pred skupino Cadet Blizzard, namen tega spletnega dnevnika pa je tudi razprava o tem, kako odkriti in preprečiti motnje.
Spremljajte Microsoft