Trace Id is missing

Attore di stato nazione Cadet Blizzard

Primo piano di un pianeta

Cadet Blizzard (DEV-0586) è un gruppo di minacce sponsorizzato dall'intelligence militare russa (GRU) che Microsoft ha iniziato a tracciare in seguito agli eventi destabilizzanti e distruttivi riscontrati in più agenzie governative in Ucraina a metà gennaio del 2022. In quel periodo, truppe russe con carri armati e artiglieria circondavano il confine ucraino mentre l'esercito si preparava a sferrare un'offensiva. Le violazioni dei principali siti Web istituzionali ucraini, unite al malware WhisperGate, hanno preceduto più ondate di attacchi da parte di Seashell Blizzard (IRIDIUM) quando l'esercito russo ha iniziato l'offensiva via terra un mese dopo. I settori principalmente colpiti sono le organizzazioni governative e i provider di servizi IT in Ucraina, anche se sono state colpite anche organizzazioni in Europa e America Latina. Valutiamo che Cadet Blizzard sia operativo da almeno il 2020 e continui a eseguire operazioni di rete tutt'oggi. Cadet Blizzard compromette e mantiene un punto di appoggio nelle reti colpite per mesi, spesso esfiltrando i dati prima di azioni distruttive. Microsoft ha osservato un picco di attività di Cadet Blizzard tra gennaio e giugno del 2022, seguito da un lungo periodo di attività ridotta.

Il gruppo è riemerso a gennaio del 2023 con più operazioni contro molte entità in Ucraina e in Europa, aggiungendo un'altra fase di violazioni di siti Web e un nuovo canale Telegram "Free Civilian" affiliato al fronte hack-and-leak sotto lo stesso nome comparso per la prima volta a gennaio del 2022, nello stesso periodo delle violazioni iniziali. Gli attori di Cadet Blizzard sono attivi sette giorni su sette e hanno condotto le loro operazioni nelle principali ore non lavorative dei loro target europei. Microsoft ritiene che gli stati membri della NATO che forniscono sostegno militare all'Ucraina sono maggiormente a rischio.

threat-actor-cadet-blizzard-chart-full

Cadet Blizzard cerca di interrompere le attività, distruggere risorse e raccogliere informazioni, con qualsiasi mezzo disponibile e, a volte, agendo in modo disordinato. Mentre il gruppo rappresenta un rischio elevato a causa della sua attività distruttiva, sembra operare con un grado di sicurezza operativa inferiore rispetto a quello dei gruppi russi avanzati e di lunga data come Seashell Blizzard e Forest Blizzard (STRONTIUM). Inoltre, come avviene con altri gruppi di minacce sponsorizzati dallo stato russo, Microsoft ritiene che almeno un'organizzazione del settore privato russo abbia materialmente supportato Cadet Blizzard fornendo supporto operativo anche durante l'attacco distruttivo WhisperGate.

Microsoft collabora con CERT-UA sin dall'inizio della guerra della Russia in Ucraina e continua a supportare il Paese e gli stati vicini nella protezione da attacchi informatici, come quelli guidati da Cadet Blizzard. Come per ogni attività osservata di attori di stato-nazione, Microsoft informa direttamente e in modo proattivo i clienti che sono stati colpiti o compromessi, offrendo loro le informazioni necessarie per condurre le indagini. Rivedi le linee guida su ricerca e mitigazione incluse in questo report per identificare e comprendere l'attività di Cadet Blizzard.

Anche noto come:                                                                        Settori colpiti:

 

DEV-0586                                                                                  Enti pubblici

                                         

                                                                                                   Servizi di emergenza

Paese di origine:

                                                                                                   Reparto IT

Russia

                                                                                                      

 

Settori mirati:

 

Ucraina

 

Europa

 

Asia centrale

 

America Latina

Microsoft Threat Intelligence: Articoli recenti su Cadet Blizzard

Cadet Blizzard emerge come nuovo attore di minacce russo