Ngày 15 tháng 6 năm 2023Ravie Lakshmanan
Microsoft hôm thứ Tư đã loại bỏ một “tác nhân đe dọa mới lạ và khác biệt của Nga”, được cho là có liên kết với Tổng cục Tình báo Chính của Bộ Tổng tham mưu (GRU) và có “tỷ lệ thành công tương đối thấp”.
Nhóm Threat Intelligence của gã khổng lồ công nghệ, trước đây đã theo dõi nhóm dưới biệt danh mới nổi của nó DEV-0586đã tốt nghiệp nó cho một diễn viên được mệnh danh là thiếu sinh quân.
Công ty cho biết: “Cadet Blizzard tìm cách tiến hành gây gián đoạn, phá hủy và thu thập thông tin, sử dụng bất kỳ phương tiện nào có sẵn và đôi khi hành động theo kiểu lộn xộn”.
“Mặc dù nhóm này có rủi ro cao do hoạt động phá hoại của chúng, nhưng chúng dường như hoạt động với mức độ an ninh hoạt động thấp hơn so với các nhóm lâu đời và tiên tiến của Nga như Seashell Blizzard và Forest Blizzard.”
Cadet Blizzard lần đầu tiên được đưa ra ánh sáng vào tháng 1 năm 2022 liên quan đến hoạt động phá hoại mạng nhắm vào Ukraine bằng cách sử dụng một phần mềm độc hại gạt nước mới có tên là WhisperGate (hay còn gọi là PAYWIPE) trong những tuần dẫn đến cuộc xâm lược quân sự của Nga vào quốc gia này.
Theo Microsoft, tác nhân được nhà nước bảo trợ này có thành tích dàn dựng các cuộc tấn công phá hoại, hoạt động gián điệp và hoạt động thông tin nhằm vào các thực thể ở Ukraine, Châu Âu, Trung Á và định kỳ là Châu Mỹ Latinh.
Bị nghi ngờ đã hoạt động ở một mức độ nào đó ít nhất là từ năm 2020, các vụ xâm nhập do Cadet Blizzard thực hiện chủ yếu tập trung vào các cơ quan chính phủ, cơ quan thực thi pháp luật, tổ chức phi chính phủ và phi lợi nhuận, nhà cung cấp dịch vụ CNTT và dịch vụ khẩn cấp.
Tom Burt của Microsoft cho biết: “Cadet Blizzard hoạt động bảy ngày một tuần và đã tiến hành các hoạt động của mình trong giờ làm việc của các mục tiêu chính khi hoạt động của nó ít có khả năng bị phát hiện hơn”. “Ngoài Ukraine, nó cũng tập trung vào các quốc gia thành viên NATO tham gia cung cấp viện trợ quân sự cho Ukraine.”
Điều đáng chú ý là Cadet Blizzard cũng trùng lặp với các nhóm được giám sát bởi cộng đồng an ninh mạng rộng lớn hơn dưới tên Ember Bear (CrowdStrike), FROZENVISTA (Google TAG), Nodaria (Symantec), TA471 (Proofpoint), UAC-0056 (CERT-UA), và UNC2589 (Google Mandiant).
Bên cạnh WhisperGate, nhóm hack được biết là tận dụng một loạt vũ khí cho kho vũ khí của mình, bao gồm SaintBot, OutSteel, GraphSteel, GrimPlant và gần đây là Graphiron. Microsoft đã gán SaintBot và OutSteel cho một cụm hoạt động liên quan có nhãn Storm-0587.
HỘI THẢO TRỰC TUYẾN SẮP TỚI
🔐 Làm chủ bảo mật API: Hiểu bề mặt tấn công thực sự của bạn
Khám phá các lỗ hổng chưa được khai thác trong hệ sinh thái API của bạn và chủ động thực hiện các bước hướng tới bảo mật bọc thép. Tham gia hội thảo trên web sâu sắc của chúng tôi!
tham gia phiên
“Cadet Blizzard cũng có liên quan đến việc phá hoại một số trang web của tổ chức Ukraine, cũng như nhiều hoạt động, bao gồm cả diễn đàn hack-and-leak được gọi là ‘Free Civilian',” Microsoft cho biết thêm.
Các nghề thủ công đáng chú ý khác đòi hỏi phải sử dụng các kỹ thuật sinh sống ngoài đất liền (LotL) sau khi giành được quyền truy cập ban đầu để đạt được chuyển động bên, thu thập thông tin xác thực và thông tin khác, đồng thời triển khai các công cụ để tạo điều kiện thuận lợi cho việc trốn tránh và kiên trì phòng thủ.
Về phần mình, các cuộc tấn công mạng được thực hiện thông qua việc khai thác các lỗ hổng đã biết trong các máy chủ web bị lộ (ví dụ: Atlassian Confluence và Microsoft Exchange Server) và các hệ thống quản lý nội dung.
“Khi chiến tranh tiếp diễn, hoạt động của Cadet Blizzard gây rủi ro ngày càng tăng đối với cộng đồng châu Âu rộng lớn hơn, đặc biệt là bất kỳ cuộc tấn công thành công nào chống lại chính phủ và các nhà cung cấp dịch vụ CNTT, điều này có thể mang lại cho tác nhân cái nhìn sâu sắc ở cả cấp chiến thuật và chiến lược về các hoạt động và chính sách của phương Tây xung quanh cuộc xung đột “, Microsoft lưu ý.
