Групи розвідки Microsoft про загрози відстежували хвилю кібератак від актора, якого ми називаємо Cadet Blizzard, пов’язаного з російським ГРУ. Ці атаки, які почалися в лютому 2023 року, були спрямовані на державні органи та постачальників ІТ-послуг в Україні. Тепер ми також можемо приписати Cadet Blizzard деструктивні атаки склоочисників WhisperGate проти України, виявлені Microsoft у січні 2022 року перед вторгненням Росії.
Cadet Blizzard зазвичай порушує свої цілі, використовуючи викрадені облікові дані для отримання доступу до інтернет-серверів, розташованих по периметру мережі організації. Опинившись усередині, він прагне зберегти доступ за допомогою широкодоступних інструментів, які називаються веб-оболонками, які можна купити як готові комплекти та налаштувати. Потім він використовує методи «живи за рахунок землі», тобто зазвичай використовує легітимні команди, а не зловмисне програмне забезпечення, щоб пересуватися по мережах своїх цілей, отримуючи доступ до додаткової інформації або порушуючи роботу мереж, якщо забажає. Використання методів «життя за рахунок землі» допомагає йому ховатися в законному мережевому трафіку, що ускладнює виявлення його діяльності.
Cadet Blizzard працює сім днів на тиждень і виконує свої операції у неробочий час своїх основних цілей, коли його активність малоймовірно буде виявлена. Окрім України, у ній також йдеться про країни-члени НАТО, які беруть участь у наданні військової допомоги Україні.
Що, напевно, найцікавіше в цьому акторі, так це його відносно низький рівень успіху порівняно з іншими акторами, пов’язаними з ГРУ, такими як Seashell Blizzard (Iridium) і Forrest Blizzard (Strontium). Атаки склоочисників у лютому 2022 року, пов’язані лише з Seashell Blizzard, вразили понад 200 систем, що охоплюють понад 15 організацій, тоді як атака WhisperGate від Cadet Blizzard у січні 2022 року вразила на порядок менше систем і мала відносно скромний вплив, незважаючи на те, що вони були навчені знищувати мережі своїх опонентів. в Україні. Активність Cadet Blizzard підскочила між січнем і червнем 2022 року, розсіялася та знову з’явилася на початку 2023 року. Нещодавні кібероперації Cadet Blizzard, хоча інколи були успішними, так само не досягли ефекту, ніж ті, що проводилися його колегами з ГРУ.
Скромні результати досягла і робота групи з питань впливу. На початку 2022 року він успішно дефейсував низку українських сайтів. Однак станом на лютий 2023 року у телеграм-каналу «Free Civilian», який Cadet Blizzard використовує для розповсюдження інформації, отриманої в результаті операцій зі злому й витоку, було лише 1,3 тисячі підписників, а дописи отримали щонайбільше десяток реакцій станом на момент публікація, що означає низьку взаємодію з користувачем.
Ми вважаємо, що Cadet Blizzard працює з 2020 року. Окрім України та країн-членів НАТО, він націлений на ряд організацій у Європі та Латинській Америці.
Хоча Cadet Blizzard не був найуспішнішим російським актором, нещодавно мав певний успіх. Унікальний доступ Microsoft до їхніх операцій спонукав нас ділитися інформацією з екосистемою безпеки та клієнтами, щоб покращити видимість і захист від їхніх атак. Як завжди, ми сповістили клієнтів, які стали цілями або зламаними, і сьогодні надали детальну технічну інформацію, щоб допомогти спільноті безпеки виявити атаки цього зловмисника та захиститися від них.
Оригінальний текст
Ongoing Russian cyberattacks targeting Ukraine
Microsoft threat intelligence teams have been tracking a wave of cyberattacks from an actor we call Cadet Blizzard that is associated with the Russian GRU. These attacks, which began in February 2023, targeted government agencies and IT service providers in Ukraine. We can also now attribute to Cadet Blizzard the destructive WhisperGate wiper attacks against Ukraine detected by Microsoft in January 2022 prior to Russia’s invasion.
Cadet Blizzard typically breaches its targets by using stolen credentials to gain access to internet servers that sit on the perimeters of an organization’s network. Once inside, it seeks to maintain access by using broadly available tools called web shells, which can be bought as off-the-shelf kits and customized. It then uses “living off the land” techniques – that is, it commonly uses legitimate commands, not malware, to move laterally across its targets’ networks while gaining access to more information or disrupting networks if it chooses. The use of “living off the land” techniques help it hide in legitimate network traffic, making its activities harder to detect.
Cadet Blizzard is active seven days a week and has conducted its operations during its primary targets’ off-business hours when its activity is less likely to be detected. In addition to Ukraine, it also focuses on NATO member states involved in providing military aid to Ukraine.
What’s perhaps most interesting about this actor is its relatively low success rate compared with other GRU-affiliated actors like Seashell Blizzard (Iridium) and Forrest Blizzard (Strontium). The February 2022 wiper attacks attributed to Seashell Blizzard alone affected more than 200 systems spanning over 15 organizations, while Cadet Blizzard’s January 2022 WhisperGate attack affected an order of magnitude fewer systems and delivered comparatively modest impact, despite being trained to destroy the networks of their opponents in Ukraine. Cadet Blizzard’s activity spiked between January and June of 2022, dissipated, and re-emerged in early 2023. The more recent Cadet Blizzard cyber operations, although occasionally successful, similarly failed to achieve the impact of those conducted by its GRU counterparts.
The group’s influence operations work has also gained modest results. In early 2022, it successfully defaced a number of Ukrainian websites. However, the “Free Civilian” Telegram channel, which Cadet Blizzard uses to distribute information it obtains from hack-and-leak operations, had only 1.3K followers as of February 2023, with posts gaining at most a dozen reactions as of the time of publication, signifying low user interaction.
We believe Cadet Blizzard has been operating since 2020. In addition to Ukraine and NATO member states, it has targeted a range of organizations in Europe and Latin America.
While it has not been the most successful Russian actor, Cadet Blizzard has seen some recent success. Microsoft’s unique visibility into their operations has motivated us to share information with the security ecosystem and customers to raise visibility and protections against their attacks. As we always do, we’ve notified customers who have been targeted or breached and, today, shared detailed technical information to help the security community identify and defend against this actor’s attacks.