Registruokitės dabar ir bet kada žiūrėkite internetinį seminarą, kuriame bus pateiktos 2024 m. „Microsoft“ skaitmeninės gynybos ataskaitos įžvalgos.
„Cadet Blizzard“ tampa nauju atskiru Rusijos grėsmės sukėlėju
„Microsoft“ ir toliau bendradarbiauja su pasauliniais partneriais reaguodama į tai, kad atskleisti destruktyvūs kibernetiniai veiksmai ir informacinės operacijos suteikia daugiau aiškumo, kokias priemones ir metodus naudoja Rusijos valstybės remiami grėsmės sukėlėjai. Konflikto metu Rusijos grėsmės sukėlėjai naudojo įvairius destruktyvius veiksmus, pasižyminčius skirtingu sudėtingumo ir poveikio lygiu, kurie parodo, kaip hibridinio karo metu kenkėjai greitai įgyvendina naujus metodus, taip pat praktinius destruktyvių kampanijų vykdymo apribojimus, kai padaromos reikšmingos operatyvinės klaidos ir saugumo bendruomenė susitelkia gynybai. Šios įžvalgos padeda saugumo tyrėjams nuolat tobulinti aptikimo ir rizikos mažinimo galimybes, kad būtų galima apsisaugoti nuo tokių atakų, joms vystantis karo aplinkoje.
Šiandien „Microsoft“ grėsmių žvalgyba dalijasi atnaujinta informacija apie grėsmės sukėlėjo, kuris anksčiau buvo žinomas kaip DEV-0586 – atskiro Rusijos valstybės finansuojamo grėsmės sukėlėjo, dabar pavadinto „Cadet Blizzard“ – metodus. Per pastaruosius metus atlikę jų įsilaužimo veiklos tyrimą, įgijome didelį pasitikėjimą savo atlikta analize ir žiniomis apie įsilaužėlio įrankius, viktimologiją ir motyvaciją, todėl pagal atitinkamus kriterijus ši grupuotė gali būti pripažinta įvardytu grėsmės sukėlėju.
„Microsoft“ mano, kad „Cadet Blizzard“ operacijos yra susijusios su Rusijos generalinio štabo Vyriausiąja žvalgybos valdyba (GRU), tačiau jos yra atskirtos nuo kitų žinomų ir labiau su GRU susijusių grupių, tokių kaip „Forest Blizzard“ (STRONTIUM) ir „Seashell Blizzard“ (IRIDIUM). Nors „Microsoft“ nuolat seka įvairias su Rusijos vyriausybe įvairiais laipsniais susijusias grupuotes, su GRU susijusios naujo veikėjo, ypač tokio, kuris vykdė destruktyvias kibernetines operacijas, galinčias padėti siekti platesnių karinių tikslų Ukrainoje, atsiradimas yra reikšmingas pokytis Rusijos kibernetinių grėsmių srityje. Likus mėnesiui iki Rusijos įsiveržimo į Ukrainą, „Cadet Blizzard“, sukūrusi ir įdiegusi „WhisperGate“, ardomąją funkciją, kuri ištrina pagrindinius įkrovos įrašus (angl. Master Boot Records, MBR), pranašavo būsimą ardomąją veiklą prieš Ukrainos vyriausybines organizacijas. „Cadet Blizzard“ taip pat yra siejama su kelių Ukrainos organizacijų interneto svetainių apgadinimais ir keliomis operacijomis, įskaitant įsilaužimo ir nutekinimo forumą, žinomą kaip „Free Civilian“.
„Microsoft“ sekė „Cadet Blizzard“ nuo „WhisperGate“ įdiegimo 2022 m. sausį. Manome, kad ji tam tikru pajėgumu veikia bent nuo 2020 m. ir šiuo metu toliau vykdo tinklo operacijas. „Cadet Blizzard“ vykdė tikslines destruktyvias atakas, šnipinėjimą ir informacines operacijas regionui svarbiose vietovėse, kurios atitiko GRU vadovaujamų operacijų, vykdytų Rusijos invazijos į Ukrainą metu, kompetenciją ir įvertintus tikslus. Nors „Cadet Blizzard“ operacijos, palyginti su labiau įsitvirtinusiais grėsmės sukėlėjais, tokiais kaip „Seashell Blizzard“, savo mastu ir apimtimi nėra tokios aktyvios, jų struktūra yra tokia, kad būtų daromas poveikis, ir dažnai kyla rizika, kad dėl tikslinių įsilaužimo ir nutekinimo operacijų bus sutrikdytas tinklo operacijų tęstinumas ir atskleista slapta informacija. Pagrindiniai atakuojami sektoriai – vyriausybinės organizacijos ir informacinių technologijų paslaugų teikėjai Ukrainoje, tačiau taip pat buvo atakuojamos organizacijos Europoje ir Lotynų Amerikoje.
„Microsoft“ nuo pat Rusijos karo Ukrainoje pradžios glaudžiai bendradarbiauja su CERT-UA ir toliau padeda šiai šaliai ir kaimyninėms valstybėms apsisaugoti nuo kibernetinių atakų, tokių kaip „Cadet Blizzard“ įvykdytos atakos. Kaip ir apie bet kokią pastebėtą valstybinių veikėjų veiklą, „Microsoft“ tiesiogiai ir aktyviai informuoja klientus, kurie buvo atakuojami arba pažeisti, ir suteikia jiems informacijos, reikalingos tyrimams atlikti. „Microsoft“ taip pat aktyviai bendradarbiauja su pasaulinės saugumo bendruomenės nariais ir kitais strateginiais partneriais, kad įvairiais kanalais dalytųsi informacija, galinčia padėti kovoti su šia besikeičiančia grėsme. Šiai veiklai suteikę atskiro grėsmės sukėlėjo pavadinimą, dalijamės šia informacija su platesne saugumo bendruomene, kad pateiktume įžvalgų, kaip apsisaugoti ir sumažinti „Cadet Blizzard“ keliamą grėsmę. Organizacijos turėtų aktyviai imtis priemonių, kad apsaugotų aplinką nuo „Cadet Blizzard“, o šiame tinklaraštyje siekiama aptarti, kaip aptikti trikdžius ir užkirsti jiems kelią.
Stebėkite „Microsoft“ saugą