Få insikter direkt från experterna i Microsoft Threat Intelligence-podden. Lyssna nu.
Cadet Blizzard framträder som en ny rysk hotaktör
Microsoft svarar med att fortsätta sitt samarbete med globala partner ger exponeringen av destruktiva cyberangrepp och informationsoperationer en tydligare bild av de verktyg och tekniker som används av olika hotaktörer som sponsras av den ryska staten. Under konfliktens gång har ryska hotaktörer utfört olika destruktiva cyberangrepp med olika nivåer av sofistikering och påverkan, vilket visar hur skadliga aktörer snabbt kan implementera nya tekniker under ett hybridkrig och hur möjligheterna att utföra destruktiva kampanjer i praktiken kan begränsas av att operativa misstag begås och säkerhetscommunityn fördjupar sitt försvarssamarbete. Dessa insikter hjälper säkerhetsforskare att kontinuerligt förbättra förmågan att identifiera och hantera hot för att skydda mot den här typen av attacker som utvecklas under pågående krig.
Idag tillkännager Microsoft Threat Intelligence uppdaterad information om de tekniker som hotaktören som tidigare kallades DEV-0586 använder sig av. Det är en separat hotaktör som sponsras av ryska staten och som nu har fått namnet Cadet Blizzard. Våra undersökningar av deras intrångsverksamhet under de senaste året har gjort att vi känner oss säkra på vår analys och våra kunskaper om aktörens verktyg, viktimologi och motiv, vilket uppfyller våra krav för att namnge gruppen som en separat hotaktör.
Microsoft bedömer att Cadet Blizzards operationer är kopplade till den ryska underrättelse- och säkerhetstjänsten GRU, men att de skiljer sig från andra kända och mer etablerade grupper med kopplingar till GRU som Forest Blizzard (STRONTIUM) och Seashell Blizzard (IRIDIUM). Microsoft spårar ständigt ett antal grupper med olika grad av koppling till ryska staten, och att det nu har vuxit fram en ny aktör med koppling till GRU, som dessutom har utfört destruktiva cyberattacker som troligtvis stöder bredare militära mål i Ukraina, är en anmärkningsvärd utveckling av det ryska cyberhotet. En månad innan Ryssland invaderade Ukraina förebådade Cadet Blizzard en kommande attack när de skapade och distribuerade den skadliga koden WhisperGate som raderar MBR:er (Master Boot Records) mot ukrainska myndigheter. Cadet Blizzard är också kopplad till intrång i flera ukrainska organisationers webbplatser samt flera operationer, bland annat ”hack-and-leak”-forumet som kallas ”Free Civilian”.
Microsoft har spårat Cadet Blizzard sedan distributionen av WhisperGate i januari 2022. Vi bedömer att de har varit verksamma till viss grad åtminstone sedan 2020 och har fortsatt att utföra nätverksoperationer fram till idag. Cadet Blizzard har utfört fokuserade destruktiva attacker, spionage och informationsoperationer i olika regionalt betydelsefulla områden vilket ligger i linje med andra uppdrag och mål med GRU-ledda operationer under Rysslands invasion av Ukraina. Cadet Blizzards operationer är visserligen mindre i både skala och omfattning än de operationer som utförs av mer etablerade hotaktörer som Seashell Blizzard, men de är konstruerade för att påverka och störa nätverksdriften och exponera känslig information via riktade ”hack-and-leak”-operationer. De primära målen är myndighetsorganisationer och IT-leverantörer i Ukraina, men de har även riktat attacker mot organisationer i Europa och Latinamerika.
Microsoft har haft ett nära samarbete med CERT-UA sedan början av Rysslands krig i Ukraina och fortsätter att stödja landet och dess grannländer mot cyberattacker, till exempel attacker som utförs av Cadet Blizzard. Som alltid när aktiviteter från nationella statsaktörer observeras meddelar Microsoft de kunder som utgör mål eller som har komprometterats så att de får information som kan hjälpa dem i deras undersökningar. Microsoft arbetar också aktivt med medlemmar i den globala säkerhetscommunityn och andra strategiska partner för att dela information som kan användas för att bekämpa detta framväxande hot via flera kanaler. Eftersom avsändaren av den här aktiviteten nu har namngetts som en separat hotaktör delar vi den här informationen med den bredare säkerhetscommunityn för att tillhandahålla insikter för att skydda mot och hantera Cadet Blizzard som ett hot. Organisationer bör aktivt vidta åtgärder för att skydda miljöer mot Cadet Blizzard, och i den här bloggen diskuteras hur du kan identifiera och undvika störningar.
Följ Microsoft