Sommario
Microsoft Threat Intelligence ha condiviso dettagli aggiornati su un attore di minaccia sponsorizzato dallo stato russo, precedentemente tracciato come DEV-0586, che ora è stato elevato al nome Cadet Blizzard. Questo attore ha condotto operazioni cyber distruttive che probabilmente sostengono gli obiettivi militari più ampi in Ucraina. Le operazioni di Cadet Blizzard sono associate alla Direzione Principale dell’Intelligence Generale del GRU russo, ma sono separate da altri gruppi affiliati al GRU più noti e consolidati come Forest Blizzard (STRONTIUM) e Seashell Blizzard (IRIDIUM).
Operazioni di Cadet Blizzard
Microsoft ha tracciato Cadet Blizzard dalla distribuzione di WhisperGate nel gennaio 2022. Si valuta che siano stati operativi in qualche modo almeno dal 2020 e continuano a svolgere operazioni di rete fino ad oggi. Le operazioni di Cadet Blizzard, sebbene meno prolifiche in termini di scala e portata rispetto ad attori di minaccia più consolidati come Seashell Blizzard, sono strutturate per fornire un impatto e corrono spesso il rischio di ostacolare la continuità delle operazioni di rete e di esporre informazioni sensibili attraverso operazioni di hack-and-leak mirate.
Obiettivi di Cadet Blizzard
I settori primari presi di mira includono organizzazioni governative e fornitori di tecnologia dell’informazione in Ucraina, sebbene anche organizzazioni in Europa e America Latina siano state prese di mira. Microsoft ha lavorato a stretto contatto con CERT-UA fin dall’inizio della guerra in Ucraina e continua a supportare il paese e gli stati limitrofi nella protezione contro gli attacchi informatici, come quelli portati avanti da Cadet Blizzard.
Strumenti, tattiche e procedure di Cadet Blizzard
Cadet Blizzard è un operatore di rete convenzionale e utilizza comunemente tecniche di living-off-the-land dopo aver ottenuto un accesso iniziale per muoversi lateralmente attraverso la rete, raccogliere credenziali e altre informazioni, e distribuire tecniche di evasione della difesa e meccanismi di persistenza. A differenza di altri gruppi affiliati alla Russia che preferiscono rimanere non rilevati per svolgere attività di spionaggio, il risultato di almeno alcune operazioni notevoli di Cadet Blizzard è estremamente distruttivo e quasi certamente intende essere segnali pubblici per i loro obiettivi per raggiungere l’obiettivo più ampio di distruzione, interruzione e, forse, intimidazione.
Mitigazione e protezione contro Cadet Blizzard
Le attività legate a Cadet Blizzard indicano che sono esaustivi nel loro approccio e hanno dimostrato la capacità di mantenere le reti a rischio di compromissione continua per un periodo di tempo prolungato. Un approccio completo alla risposta agli incidenti può essere necessario per rimediare completamente alle operazioni di Cadet Blizzard. Le organizzazioni possono rafforzare la sicurezza delle risorse informative e accelerare la risposta agli incidenti concentrandosi su aree di rischio basate sul tradecraft dell’attore enumerato in questo rapporto. Utilizzare gli indicatori di compromissione inclusi per indagare sugli ambienti e valutare la potenziale intrusione.
