直接從 Microsoft 威脅情報播客上的專家那裡獲得見解。 立即收聽.
個性鮮明的俄羅斯威脅行動者 Cadet Blizzard 開始嶄露頭角
Microsoft 持續與全球合作夥伴緊密合作,共同應對這項挑戰。隨著破壞性網路能力和資訊行動的曝光,俄羅斯國家資助的威脅行動者所使用的工具和技術逐漸浮出水面。在整個衝突期間,這些威脅行動者部署了各種複雜程度和影響力不一的破壞性能力,揭示了惡意行動者如何在混合戰爭中迅速應用新技術,以及在發生重大操作失誤時執行破壞性活動的實際限制。安全性社群團結一心,共同防禦這些威脅。這些見解有助於安全研究人員不斷完善偵測和緩解能力,以應對戰時環境中不斷演變的攻擊。
Microsoft 評估認為,Cadet Blizzard 的行動與俄羅斯聯邦軍隊總參謀部情報總局 (GRU) 有關,但獨立於其他已知的、更成熟的 GRU 附屬組織,例如 STRONTIUM 和 IRIDIUM。儘管 Microsoft 持續追蹤了與俄羅斯政府有不同程度隸屬關係的多個活動團體,但俄羅斯網路威脅領域的一個顯著發展是出現了一個新的 GRU 附屬行動者,具體而言,是一個實施了可能支持烏克蘭更廣泛軍事目標的破壞性網路行動的行動者。在俄羅斯入侵烏克蘭的前一個月,Cadet Blizzard 就預示了未來的破壞性活動,當時它建立並部署了 WhisperGate,這是一種針對烏克蘭政府組織的破壞性功能,可擦除主開機記錄 (MBR)。Cadet Blizzard 也與多個烏克蘭組織網站的篡改以及多項行動有關,其中包括名為「Free Civilian」的「駭入再洩露」論壇。
自 2022 年 1 月部署 WhisperGate 以來,Microsoft 一直在追蹤 Cadet Blizzard。根據我們的評估,他們至少在 2020 年就已經以某種身分開始活動,並且至今仍在持續進行網路操作。在俄羅斯入侵烏克蘭期間,Cadet Blizzard 與 GRU 領導的行動的職權範圍和評估目標保持一致,在烏克蘭的重要地區開展了集中的破壞性攻擊、間諜活動和資訊行動。儘管與 Seashell Blizzard 等更成熟的威脅行動者相比,Cadet Blizzard 的行動在規模和範圍上相對較小,但其結構是為了產生影響,並且經常冒險阻礙網路操作的連續性,並透過有針對性的駭客攻擊和洩露敏感資訊來製造風險。他們的主要目標包括烏克蘭的政府組織和資訊技術供應商,儘管歐洲和拉丁美洲的組織也受到了他們的攻擊。
自俄烏戰爭爆發以來,Microsoft 一直與 CERT-UA 密切合作,並繼續支持烏克蘭及其鄰國抵禦網路攻擊,例如 Cadet Blizzard 發起的攻擊。與任何觀察到的民族國家行為者活動一樣,Microsoft 直接主動通知已成為目標或受到損害的客戶,為他們提供指導調查所需的資訊。此外,Microsoft 還與全球安全性社群成員和其他策略合作夥伴緊密合作、分享資訊,並透過多種管道來應對這個不斷演變的威脅。一旦這種活動被歸類為獨特的威脅行動者,我們就會與更大的安全性社群分享這些資訊,以提供深入解析,從而防範及減輕 Cadet Blizzard 威脅。因此,我們強烈建議組織積極採取措施,以防範 Cadet Blizzard 的侵害。本部落格將進一步討論如何有效地偵測及預防此類破壞行為。
關注 Microsoft