Cadet Blizzard ปรากฏตัวในฐานะผู้ดำเนินการภัยคุกคามจากรัสเซียรายใหม่ที่โดดเด่น
Microsoft ตอบสนองด้วยการเดินหน้าต่อไปในการร่วมมือกับคู่ค้าทั่วโลก การตีแผ่ความสามารถทางไซเบอร์และการปฏิบัติการสารสนเทศที่เป็นการทำลายช่วยมอบความกระจ่างยิ่งขึ้นเกี่ยวกับเครื่องมือและเทคนิคที่ใช้โดยผู้ดำเนินการภัยคุกคามที่ได้รับการสนับสนุนจากรัฐรัสเซีย ตลอดความขัดแย้งนี้ ผู้ดำเนินการภัยคุกคามของรัสเซียได้ปรับใช้ความสามารถเชิงทำลายที่หลากหลายโดยมีระดับความซับซ้อนและผลกระทบที่แตกต่างกันไป ซึ่งแสดงให้เห็นว่าผู้ดำเนินการที่มุ่งร้ายปรับใช้เทคนิคใหม่ๆ ในระหว่างสงครามแบบไฮบริดนี้ได้เร็วเพียงใด ตลอดจนข้อจำกัดในทางปฏิบัติจริงของการดำเนินการต่อสู้ที่เป็นการทำลาย เมื่อเกิดข้อผิดพลาดเชิงปฏิบัติการที่สำคัญและชุมชนการรักษาความปลอดภัยผนึกกำลังกันในการปกป้อง ข้อมูลเชิงลึกเหล่านี้ช่วยให้นักวิจัยด้านความปลอดภัยปรับปรุงความสามารถในการตรวจหาและการบรรเทาได้อย่างต่อเนื่อง เพื่อป้องกันการโจมตีดังกล่าวที่มีการวิวัฒนาการในสภาพแวดล้อมของช่วงเวลาที่มีศึกสงคราม
ปัจจุบัน Microsoft Threat Intelligence แชร์รายละเอียดที่อัปเดตเกี่ยวกับเทคนิคของผู้ดำเนินการภัยคุกคามที่ติดตามไว้ก่อนหน้านี้ในชื่อ DEV-0586 ผู้ดำเนินการภัยคุกคามชื่อกระฉ่อนที่ได้รับการสนับสนุนจากรัฐรัสเซียซึ่งปัจจุบันยกระดับขึ้นไปโดยใช้ชื่อว่า Cadet Blizzard การตรวจสอบกิจกรรมการบุกรุกของ Cadet Blizzard ที่เราดำเนินการตลอดปีที่ผ่านมาช่วยให้เรามีความเชื่อมั่นระดับสูงในการวิเคราะห์และความรู้ของเราเกี่ยวกับการใช้เครื่องมือ วิชาเหยื่อวิทยา และแรงจูงใจของผู้ดำเนินการ ซึ่งตรงตามเกณฑ์ในการเปลี่ยนให้กลุ่มนี้กลายเป็นผู้ดำเนินการภัยคุกคามที่ระบุชื่อ
Microsoft ประเมินว่าการปฏิบัติการของ Cadet Blizzard เชื่อมโยงกับ Russian General Staff Main Intelligence Directorate (GRU) แต่แยกจากกลุ่มอื่นๆ ในเครือ GRU ที่ทราบชื่อและจัดตั้งขึ้นมายาวนานกว่า เช่น Forest Blizzard (STRONTIUM) และ Seashell Blizzard (IRIDIUM) ขณะที่ Microsoft ติดตามกลุ่มกิจกรรมจำนวนหนึ่งที่มีความเกี่ยวเนื่องกับรัฐบาลรัสเซียในระดับต่างๆ อย่างต่อเนื่อง การเกิดขึ้นของผู้ดำเนินการในเครือ GRU รายใหม่ โดยเฉพาะอย่างยิ่งที่ได้ลงมือปฏิบัติการทางไซเบอร์ที่เป็นการทำลายซึ่งมีแนวโน้มที่จะสนับสนุนวัตถุประสงค์ทางการทหารที่กว้างขึ้นในยูเครน ถือเป็นการพัฒนาที่โดดเด่นในภูมิทัศน์ของภัยคุกคามทางไซเบอร์ของรัสเซีย หนึ่งเดือนก่อนที่รัสเซียเข้ารุกรานยูเครน Cadet Blizzard ได้ส่อให้เห็นถึงกิจกรรมเชิงทำลายในอนาคตเมื่อทางกลุ่มได้สร้างและปรับใช้ WhisperGate ซึ่งเป็นความสามารถเชิงทำลายที่จะล้างข้อมูลของ Master Boot Record (MBR) เพื่อโจมตีองค์กรภาครัฐยูเครน Cadet Blizzard ยังเชื่อมโยงกับการโจมตีเพื่อเปลี่ยนแปลงข้อมูลที่เผยแพร่บนเว็บไซต์ขององค์กรยูเครนหลายๆ เว็บไซต์ ตลอดจนการปฏิบัติการหลายๆ อย่าง ซึ่งรวมถึงฟอรัมแบบแฮ็กและทำให้รั่วไหลที่รู้จักกันในชื่อ "Free Civilian"
Microsoft ได้ติดตาม Cadet Blizzard มาตั้งแต่การปรับใช้ WhisperGate ในเดือนมกราคม ปี 2022 เราประเมินว่า Cadet Blizzard เริ่มปฏิบัติการในระดับหนึ่งมาตั้งแต่ปี 2020 เป็นอย่างต่ำ และยังคงลงมือปฏิบัติการทางเครือข่ายเรื่อยมาจนถึงปัจจุบัน Cadet Blizzard มีส่วนร่วมในการโจมตี การจารกรรม และการปฏิบัติการสารสนเทศเชิงทำลายแบบกำหนดเป้าหมายในพื้นที่ต่างๆ ที่มีความสำคัญทางภูมิภาค โดยมีความสอดคล้องเชิงปฏิบัติการกับวัตถุประสงค์ตามขอบเขตที่ได้รับการประเมินของการปฏิบัติการที่นำโดย GRU ตลอดการรุกรานยูเครนของรัสเซีย ถึงแม้ว่าการปฏิบัติการของ Cadet Blizzard จะน้อยกว่าทั้งในแง่ของขนาดและขอบเขต เมื่อเทียบกับผู้ดำเนินการภัยคุกคามที่จัดตั้งขึ้นมายาวนานกว่า เช่น Seashell Blizzard แต่ก็ได้รับการกำหนดโครงสร้างให้ส่งผลกระทบและก่อให้เกิดความเสี่ยงอยู่เสมอที่จะทำลายความต่อเนื่องของการปฏิบัติการเครือข่ายและเปิดเผยข้อมูลที่ละเอียดอ่อนผ่านการปฏิบัติการแฮ็กและทำให้รั่วไหลแบบกำหนดเป้าหมาย ภาคส่วนที่เป็นเป้าหมายหลัก ได้แก่ องค์กรภาครัฐและผู้ให้บริการเทคโนโลยีสารสนเทศในยูเครน ถึงแม้ว่าองค์กรต่างๆ ในยุโรปและลาตินอเมริกาก็ถูกกำหนดเป้าหมายด้วยเช่นกัน
Microsoft ได้ร่วมมือกับ CERT-UA อย่างใกล้ชิดนับตั้งแต่การเริ่มต้นของสงครามของรัสเซียในยูเครน และให้การสนับสนุนประเทศและรัฐเพื่อนบ้านอย่างต่อเนื่องในการป้องกันการโจมตีทางไซเบอร์ เช่น การโจมตีที่ดำเนินการโดย Cadet Blizzard เช่นเดียวกับกิจกรรมใดๆ ที่สังเกตได้ของผู้โจมตีที่กำกับโดยรัฐ ทาง Microsoft จะแจ้งลูกค้าที่ตกเป็นเป้าหมายหรือมีช่องโหว่ให้ทราบโดยตรงในเชิงรุก โดยให้ข้อมูลที่จำเป็นต่อการกำหนดทิศทางการตรวจสอบ นอกจากนี้ Microsoft ยังร่วมมืออย่างแข็งขันกับสมาชิกของชุมชนการรักษาความปลอดภัยส่วนกลางและคู่ค้าเชิงกลยุทธ์รายอื่นๆ เพื่อแบ่งปันข้อมูลที่สามารถจัดการกับภัยคุกคามที่มีการเปลี่ยนแปลงอยู่เสมอนี้ผ่านช่องทางต่างๆ การที่เรายกระดับกิจกรรมนี้เป็นชื่อผู้ดำเนินการภัยคุกคามที่โดดเด่น เท่ากับว่าเราแบ่งปันข้อมูลกับชุมชนการรักษาความปลอดภัยที่มีขนาดใหญขึ้นเพื่อมอบข้อมูลเชิงลึกในการป้องกันและลดผลกระทบของ Cadet Blizzard ในฐานะภัยคุกคาม องค์กรต่างๆ ควรดำเนินการอย่างแข็งขันเพื่อปกป้องสภาพแวดล้อมจาก Cadet Blizzard และบล็อกนี้มีวัตถุประสงค์เพิ่มเติมในการแลกเปลี่ยนความคิดเห็นเกี่ยวกับวิธีตรวจหาและป้องกันการหยุดชะงัก
ติดตาม Microsoft Security