Дізнавайтеся аналітику безпосередньо від експертів у подкасті Аналізу загроз Microsoft. Прослухати.
Cadet Blizzard – нове джерело загроз із Росії
У відповідь на це корпорація Майкрософт продовжує співпрацю з партнерами в усьому світі. Викривши руйнівні можливості кіберзловмисників та їхні інформаційні операції, можна краще зрозуміти, які інструменти й методи використовують спонсоровані Росією джерела загроз. Протягом війни російські суб’єкти загроз із перемінним успіхом застосовували руйнівні засоби, що мали різний рівень складності й впливу. Це демонструє, що зловмисники блискавично освоюють новітні технології під час ведення гібридної війни, і водночас з’являються практичні обмеження для втілення хакерських кампаній, коли зловмисники допускають значні операційні помилки та стикаються з протидією спільноти, яка об’єднується для захисту від атак. Ці аналітичні висновки допомагають фахівцям із безпеки безперервно вдосконалювати механізми виявлення загроз і протидії їм, щоб захищатися від атак, які видозмінюються та посилюються в умовах ведення війни.
Сьогодні команда аналізу загроз Microsoft розкриває відомості про встановлене джерело загроз, що фінансується з державного бюджету Росії, раніше відоме як DEV-0586. Після ретельного вивчення цей суб’єкт отримав назву Cadet Blizzard. У ході розслідування підривної діяльності за минулий рік ми впевнилися в достовірності наших аналітичних відомостей, дослідили інструментарій джерела загроз, віктимологію та мотивацію до зловмисних дій. Оскільки суб’єкт відповідає всім відповідним критеріям, його було перетворено на іменоване джерело загрози.
За оцінками корпорації Майкрософт операції Cadet Blizzard пов’язані з Головним управлінням Генерального штабу ЗС Російської Федерації (ГРУ), але суб’єкт діє окремо від інших відомих джерел загроз, які мають очевидний зв’язок із ГРУ, наприклад Forest Blizzard (STRONTIUM) і Seashell Blizzard (IRIDIUM). Корпорація Майкрософт постійно стежить за низкою хакерських груп, які в різний спосіб пов’язані з урядом Росії, однак поява нового джерела загроз, пов’язаного з ГРУ, особливо такого, що здійснювало підривні атаки для підтримки масштабних військових операцій в Україні, свідчить про розширення поля діяльності російських кіберзловмисників. За місяць до нападу Росії на Україну, хакери з Cadet Blizzard готували підґрунтя для майбутньої злочинної діяльності, створивши й розгорнувши зловмисне програмне забезпечення WhisperGate, яке стирає основні записи завантаження (Master Boot Records, MBR) і націлене на урядові організації України. Cadet Blizzard відповідає за пошкодження веб-сайтів кількох українських організацій та інші операції, наприклад роботу групи Free Civilian, яка зламувала й привласнювала дані державних установ.
Корпорація Майкрософт стежить за діяльністю Cadet Blizzard із січня 2022 р., коли було розгорнуто WhisperGate. Ми припускаємо, що цей суб’єкт проводив певні мережеві операції ще в 2020 р. й продовжує це робити до сьогодні. Відповідно до наданих повноважень і поставлених задач від ГРУ під час російського вторгнення в Україну Cadet Blizzard зосереджує свою діяльність на руйнівних атаках, кібершпіонажі, інформаційних операціях у стратегічно важливих регіонах. Хоча операції Cadet Blizzard не такі результативні й масштабні, як атаки інших відомих хакерських груп, як-от Seashell Blizzard, вони все ж становлять загрозу для безперервної роботи мереж і несуть ризик розкриття делікатної інформації через злам і привласнення даних. Під прицілом цих зловмисників першочергово були урядові установи й постачальники інформаційних технологій в Україні, хоча організації в Європі й Латинській Америці теж постраждали.
З початку війни корпорація Майкрософт тісно співпрацює з організацією CERT-UA та постійно підтримує Україну й сусідні держави в сфері захисту від кібератак, наприклад здійснених Cadet Blizzard. Як завжди у випадках, коли виявлено суб’єкт загроз національного рівня, корпорація Майкрософт заздалегідь безпосередньо повідомляє клієнтів, чиї організації можуть стати ціллю або чиї дані може бути уражено, а також надає клієнтам відомості, необхідні для розслідування. Крім того, корпорація Майкрософт активно співпрацює з міжнародною спільнотою фахівців із цифрової безпеки й іншими стратегічними партнерами для обміну інформацією, яка допоможе різними способами реагувати на загрози, що постійно розвиваються. Підвищивши статус цього суб’єкта до іменованого джерела загроз, ми поширюємо інформацію в спільноті із цифрової безпеки та надаємо аналітичні відомості для захисту від загроз і зниження ризиків, пов’язаних із Cadet Blizzard. Організації мають уживати активних заходів для захисту своїх цифрових середовищ від Cadet Blizzard, а в цьому блозі можна обговорювати способи виявлення порушень і запобігання їм.
Підпишіться на Microsoft