Cadet Blizzard (DEV-0586) — спонсорована російським ГРУ група загроз, яку Microsoft почала відстежувати після підривних і руйнівних подій, що сталися в кількох державних установах в Україні в середині січня 2022 року. У цей час російські війська за підтримки танків і артилерії оточували український кордон, коли військові готувалися до наступальної атаки. Пошкодження веб-сайтів ключових українських установ у поєднанні зі зловмисним програмним забезпеченням WhisperGate передували численним хвилям атак з боку Seashell Blizzard (IRIDIUM), які послідували після того, як російські військові почали наземний наступ через місяць. Основними цільовими секторами є державні організації та постачальники інформаційних технологій в Україні, хоча цільовими також є організації в Європі та Латинській Америці. За нашими оцінками, Cadet Blizzard працює в певній якості принаймні з 2020 року і продовжує виконувати мережеві операції до теперішнього часу. Cadet Blizzard зловживає та підтримує уражені мережі протягом місяців, часто викрадаючи дані перед руйнівними діями. Microsoft спостерігала пік активності Cadet Blizzard між січнем і червнем 2022 року, після чого послідував тривалий період зниження активності.
Група знову з’явилася в січні 2023 року з розширеними операціями проти багатьох організацій в Україні та Європі, включно з черговим викривленням веб-сайтів і новим «безкоштовним цивільним» каналом Telegram, пов’язаним із фронтом злому та витоку інформації під тією ж назвою, що й уперше з’явилася в січні 2022 року, приблизно в той самий час, що й початкові пошкодження. Актори Cadet Blizzard активні сім днів на тиждень і виконували свої операції у неробочий час своїх основних європейських цілей. Microsoft оцінює, що країни-члени НАТО, які беруть участь у наданні військової допомоги Україні, піддаються більшому ризику.
Cadet Blizzard прагне руйнувати, знищувати та збирати інформацію, використовуючи будь-які доступні засоби та іноді діючи безладно. Незважаючи на те, що група несе високий ризик через свою деструктивну діяльність, вона, схоже, працює з нижчим ступенем оперативної безпеки, ніж у давніх і передових російських груп, таких як Seashell Blizzard і Forest Blizzard (СТРОНТІУМ). Крім того, як і у випадку з іншими російськими державними групами загроз, Microsoft оцінює, що принаймні одна російська організація приватного сектора матеріально підтримала Cadet Blizzard, надаючи оперативну підтримку, зокрема під час руйнівної атаки WhisperGate.
Microsoft тісно співпрацює з CERT-UA з початку війни Росії в Україні та продовжує підтримувати країну та сусідні держави у захисті від кібератак, таких як Cadet Blizzard. Як і у випадку з будь-якою іншою спостережуваною діяльністю суб’єктів національної держави, Microsoft безпосередньо та завчасно сповіщає клієнтів, які стали мішенню або скомпрометовані, надаючи їм інформацію, необхідну для проведення розслідувань. Перегляньте вказівки щодо полювання та пом’якшення, включені в цей звіт, щоб допомогти визначити та зрозуміти діяльність Cadet Blizzard.
ДЕТАЛІ
Також відомий як: DEV-0586
Країна походження: Росія
Цільові країни: Україна, Європа, Центральна Азія, Латинська Америка
Цільові галузі: уряд, екстрені служби, інформаційні технології
Національна держава Актор Cadet Blizzard
