Cadet Blizzard

Cadet Blizzard (DEV-0586) is een Russische, door de GROe gesponsorde bedreigingsgroep die wordt bijgehouden door Microsoft sinds half januari 2022 toen vernietigende en verstorende gebeurtenissen plaatsvonden bij meerdere overheidsinstanties in Oekraïne. In deze periode omcirkelden Russische troepen met tanks en geschut de Oekraïense grens. Het Russische leger bereidde zich voor op een aanval. De bekladding van websites van belangrijke Oekraïense instellingen en de toepassing van WhisperGate-malware waren een inleiding tot meerdere aanvalsgolven door Seashell Blizzard (IRIDIUM), gevolgd door het Russische leger dat een maand later het grondoffensief begon. Primair aangevallen sectoren zijn onder andere overheidsorganisaties en providers van informatietechnologie in Oekraïne. Organisaties in Europa en Latijns-Amerika zijn echter ook doelwit geweest. We beoordelen dat Cadet Blizzard minstens sinds 2020 operationeel is in de een of andere hoedanigheid en dat de groep nog steeds netwerkoperaties uitvoert. Cadet Blizzard compromitteert netwerken en handhaaft maandenlang vaste voet in de getroffen netwerken. Vaak extraheert de groep gegevens voorafgaand aan verstorende acties. Microsoft heeft waargenomen dat tussen januari en juni 2022 de piek van de activiteit van Cadet Blizzard plaatsvond, gevolgd door een lange periode van verminderde activiteit.

In januari 2023 dook de groep opnieuw op, dit keer met toegenomen operaties tegen meerdere entiteiten in Oekraïne en Europa. Er vond een nieuwe ronde van websitebekladdingen plaats en er ontstond een nieuw Telegram-kanaal met de naam 'Free Civilian', gerelateerd aan het front dat gebruikmaakt van hacken en lekken onder dezelfde naam die voor het eerst opdook in januari 2022 (rond de tijd van de eerste bekladdingen). Cadet Blizzard-actoren zijn zeven dagen per week actief en hebben hun operaties uitgevoerd buiten de werkuren van hun primaire Europese doelen. Microsoft beoordeelt dat NAVO-lidstaten een groter risico lopen wanneer ze betrokken zijn in het leveren van militaire hulp aan Oekraïne.

Cadet Blizzard wil verstoren, vernietigen en informatie verzamelen met alle middelen die beschikbaar zijn. Soms is hun handelen willekeurig. Hoewel de groep een hoog risico vormt vanwege hun vernietigende activiteit, lijken hun activiteiten te worden uitgevoerd met een lager niveau operationele veiligheid dan die van langlopende en geavanceerde Russische groepen zoals Seashell Blizzard en Forest Blizzard (STRONTIUM). Daarnaast beoordeelt Microsoft dat (net als bij andere door de Russische staat gesponsorde bedreigingsgroepen) minstens één Russische organisatie uit de private sector materiële ondersteuning heeft geboden aan Cadet Blizzard, namelijk operationele ondersteuning tijdens onder andere de vernietigende WhisperGate-aanval.

Microsoft heeft sinds het begin van de oorlog van Rusland in Oekraïne nauw samengewerkt met CERT-UA en gaat door met het ondersteunen van het land en omringende staten ter bescherming tegen cyberaanvallen zoals die van Cadet Blizzard. Zoals met alle waargenomen activiteiten van een natiestaat als actor (een 'nation-state actor'), brengt Microsoft direct en proactief klanten op de hoogte die zijn aangevallen of gecompromitteerd. Daarbij wordt informatie geboden die nodig is als richtlijn voor hun onderzoeken. Bekijk de richtlijnen voor opsporing en beperking die zijn opgenomen in dit rapport. Deze helpen je om de activiteit van Cadet Blizzard te identificeren en te begrijpen.

Ook bekend als: Aangevallen branches:

DEV-0586 Overheid

Hulpdiensten

Land van herkomst:

Informatietechnologie

Rusland

Aangevallen landen:

Oekraïne

Europa

Centraal-Azië

Latijns-Amerika

Bedreigingsactoren Natiestaat

Nation-state actor Cadet Blizzard

Microsoft Bedreigingsinformatie: recente artikelen over Cadet Blizzard

Cadet Blizzard duikt op als een nieuwe en afzonderlijke Russische bedreigingsactor