Cadet Blizzard

Cadet Blizzard (DEV-0586) est un groupe de menace commandité par le GRU russe que Microsoft a commencé à surveiller à la suite d'événements perturbateurs et destructeurs survenus dans plusieurs agences gouvernementales en Ukraine à la mi-janvier 2022. Pendant ce temps, les troupes russes, appuyées par des chars et des pièces d'artillerie, encerclaient la frontière ukrainienne et se préparaient à une attaque offensive. Les défacements de sites web d'institutions ukrainiennes clés, associés au logiciel malveillant WhisperGate, ont précédé les multiples vagues d'attaques de Seashell Blizzard (IRIDIUM) qui ont suivi lorsque l'armée russe a commencé son offensive terrestre un mois plus tard. Les principaux secteurs visés sont les organisations gouvernementales et les fournisseurs de technologies de l'information en Ukraine, bien que des organisations en Europe et en Amérique latine aient également été ciblées. Nous estimons que Cadet Blizzard est opérationnel d'une manière ou d'une autre depuis au moins 2020 et qu’il continue d'assurer des opérations de réseau à l'heure actuelle. Cadet Blizzard compromet et garde une implantation dans les réseaux affectés pendant des mois, exfiltrant souvent des données avant de mener des actions perturbatrices. Microsoft a observé un pic d'activité de Cadet Blizzard entre janvier et juin 2022, suivi d'une longue période d'activité réduite.

Le groupe est réapparu en janvier 2023 avec des opérations accrues contre de multiples entités en Ukraine et en Europe, y compris une nouvelle série de défacements de sites web et un nouveau canal Telegram « Free Civilian » affilié au front de piratage et de fuite du même nom qui est apparu pour la première fois en janvier 2022, à peu près au même moment que les défacements initiaux. Les acteurs de Cadet Blizzard sont actifs sept jours sur sept et ont mené leurs opérations hors des heures de travail de leurs principales cibles européennes. Microsoft estime que les États membres de l'OTAN qui fournissent une aide militaire à l'Ukraine courent un plus grand risque.

Cadet Blizzard cherche à perturber, détruire et collecter des informations, en utilisant tous les moyens disponibles et en agissant parfois de manière désordonnée. Bien que le groupe présente un risque élevé en raison de ses activités destructrices, il semble opérer avec un degré de sécurité opérationnelle inférieur à celui de groupes russes anciens et avancés tels que Seashell Blizzard et Forest Blizzard (STRONTIUM). En outre, comme c'est le cas pour d'autres groupes de menace commandités par l'État russe, Microsoft estime qu'au moins une organisation russe du secteur privé a apporté un soutien matériel à Cadet Blizzard en lui fournissant un appui opérationnel, notamment lors de l'attaque destructrice WhisperGate.

Microsoft collabore avec le CERT-UA depuis le début de la guerre de la Russie en Ukraine et continue d'aider le pays et les États voisins à se protéger contre les cyberattaques, telles que celles menées par Cadet Blizzard. Comme pour toute activité observée d'un acteur étatique, Microsoft notifie directement et de manière proactive les clients qui ont été ciblés ou compromis, en leur fournissant les informations dont ils ont besoin pour mener leurs enquêtes. Examinez les lignes directrices relatives à la chasse et à l'atténuation des effets incluses dans le présent rapport pour vous aider à identifier et à comprendre l'activité de Cadet Blizzard.

Également connu sous le nom de : Secteurs ciblés :

DEV-0586 Gouvernement

Services d’urgence

Pays d’origine :

Technologies de l’information

Russie

Pays ciblés :

Ukraine

Europe

Asie centrale

Amérique latine

Acteurs de la menace État-nation

Acteur étatique Cadet Blizzard

Veille des menaces Microsoft : Articles récents sur Cadet Blizzard

Cadet Blizzard apparaît comme un nouvel acteur distinct de la menace russe