Cadet Blizzard

Grupa Cadet Blizzard (DEV-0586) to źródło zagrożenia prowadzone przez rosyjską agencję GRU, które firma Microsoft zaczęła śledzić po zdarzeniach skutkujących zakłóceniami i zniszczeniami w wielu agencjach administracji publicznej w Ukrainie w połowie stycznia 2022 roku. W tym czasie wojska rosyjskie wspierane czołgami i artylerią otaczały granicę ukraińską w ramach przygotowań armii do ataku. Te złośliwe zmiany treści witryn kluczowych ukraińskich instytucji w połączeniu z atakami złośliwego oprogramowania WhisperGate poprzedziły wiele fal ataków przeprowadzonych przez grupę Seashell Blizzard (IRIDIUM) po tym, jak miesiąc później wojsko rosyjskie rozpoczęło ofensywę lądową. Do głównych sektorów narażonych na te ataki zaliczają się organizacje rządowe i dostawcy technologii informatycznych w Ukrainie, ale celami ataków były też organizacje w Europie i Ameryce Łacińskiej. Oceniamy, że grupa Cadet Blizzard działa w pewnym zakresie co najmniej od 2020 r. i obecnie nadal prowadzi operacje w sieci. Grupa Cadet Blizzard narusza zabezpieczenia sieci i utrzymuje w nich obecność przez wiele miesięcy, często eksfiltrując dane, zanim podejmie działania powodujące zakłócenia. Firma Microsoft zaobserwowała szczyt aktywności grupy Cadet Blizzard w okresie między styczniem a czerwcem 2022 roku, po którym nastąpił dłuższy okres zmniejszonej aktywności.

Grupa ponownie aktywowała się w styczniu 2023 roku, prowadząc wzmożone działania przeciwko wielu podmiotom w Ukrainie i Europie, w tym przeprowadzając kolejną serię ataków ze złośliwym zmienianiem treści witryn i używając nowego kanału „Free Civilian” na komunikatorze Telegram powiązanego z frontem zajmującym się kradzieżą i ujawnianiem informacji (hack-and-leak) o tej samej nazwie, której pierwszy raz użyto w styczniu 2022 roku, mniej więcej w tym samym czasie, w którym miały miejsce początkowe złośliwe zmiany treści. Agenci grupy Cadet Blizzard są aktywni przez siedem dni w tygodniu i prowadzą działania poza godzinami pracy swoich głównych europejskich celów. W ocenie firmy Microsoft na większe ryzyko są narażone państwa członkowskie NATO zaangażowane w udzielanie pomocy wojskowej Ukrainie.

Celem grupy Cadet Blizzard jest wywoływanie zakłóceń, sianie zniszczenia i zbieranie informacji za pomocą wszelkich dostępnych środków, czasem metodami niesystematycznymi. Mimo że ze względu na jej niszczycielską działalność z grupą tą wiąże się wysokie ryzyko, jej działania wyglądają na mające niższy stopień bezpieczeństwa operacyjnego niż działania aktywnych od dawna, zaawansowanych rosyjskich grup, takich jak Seashell Blizzard i Forest Blizzard (STRONTIUM). Ponadto w ocenie firmy Microsoft podobnie jak w przypadku innych rosyjskich państwowych grup hakerskich co najmniej jedna rosyjska organizacja z sektora prywatnego udziela grupie Cadet Blizzard istotnego wsparcia, zapewniając obsługę operacyjną, w tym podczas niszczycielskiego ataku z użyciem oprogramowania WhisperGate.

Firma Microsoft ściśle współpracuje z zespołem CERT-UA od początku wojny Rosji w Ukrainie i nadal wspiera ten kraj oraz państwa sąsiednie w ochronie przed cyberatakami, takimi jak te prowadzone przez grupę Cadet Blizzard. Podobnie jak w przypadku każdej zaobserwowanej aktywności państwowej grupy hakerskiej, firma Microsoft bezpośrednio i z wyprzedzeniem powiadamia klientów, którzy stali się celem ataków lub padli ofiarą naruszeń, przekazując im informacje potrzebne do prowadzenia dochodzeń. Zapoznaj się z wytycznymi dotyczącymi wyszukiwania zagrożeń i ograniczania ryzyka zawartymi w tym raporcie, aby skuteczniej identyfikować i lepiej rozumieć działania grupy Cadet Blizzard.

Inne nazwy: Atakowane branże:

DEV-0586 Administracja publiczna

Służby ratunkowe

Kraj pochodzenia:

Technologie informatyczne

Rosja

Atakowane kraje:

Ukraina

Europa

Azja Środkowa

Ameryka Łacińska

Źródła zagrożeń Grupa państwowa

Państwowa grupa hakerska Cadet Blizzard

Centrum analizy zagrożeń Microsoft: najnowsze artykuły o grupie Cadet Blizzard

Cadet Blizzard wyłania się jako nowe i odrębne rosyjskie źródło zagrożenia