Nationalstaatliche Akteure Midnight Blizzard

Der in Russland ansässige Bedrohungsakteur, der von Microsoft als Midnight Blizzard (NOBELIUM) bezeichnet wird, wird von der US-amerikanischen und britischen Regierung dem russischen Auslandsgeheimdienst (Foreign Intelligence Service bzw. SVR) zugeordnet. Midnight Blizzard (NOBELIUM) ist bekannt dafür, primär Regierungen, diplomatische Instanzen, NGOs und IT-Dienstleister insbesondere in den USA und in Europa anzuvisieren. Der Fokus liegt dabei darauf, Intelligenz durch langfristige und dedizierte Spionage von ausländischen Interessensgruppen zu sammeln, die mithilfe der Verwendung von Identität bis 2018 zurückverfolgt werden kann. Midnight Blizzard (NOBELIUM) ist konsistent und hartnäckig beim operationalen Anzielen, und die Motive ändern sich selten. Es werden diverse Einstiegszugriffsmethoden verwendet, von gestohlenen Anmeldeinformationen, über Angriffe an der Lieferkette, den Missbrauch von lokalen Umgebungen, bis hin zu lateralen Bewegungen auf die Cloud, Missbrauch der Vertrauenskette, um Zugriff auf Downstream-Kunden zu erhalten, und durch die ADSFS-Malware, die auch als FOGGYWEB und MAGICWEB bekannt ist. Midnight Blizzard (NOBELIUM) wird von Partnersicherheitsunternehmen als APT29, UNC2452 und Cozy Bear verfolgt.