Microsoft, Nisan 2023’ten bu yana Cadet Blizzard olarak izlediği bir tehdit grubunu Rusya’nın Silahlı Kuvvetler Genelkurmay Başkanlığı’na (GRU olarak da bilinir) bağladı.
Şirket daha önce bu yeni GRU bilgisayar korsanlığı grubunu, Rusya’nın Şubat 2022’de Ukrayna’yı işgalinden bir aydan uzun bir süre önce, 13 Ocak 2022’de Ukrayna’da başlayan yıkıcı WhisperGate veri silme saldırılarıyla ilişkilendirdi.
Cadet Blizzard, 2022’nin başlarında Ukrayna web sitelerinin tahrif edilmesinin ve “Özgür Sivil” olarak bilinen düşük etkinlikli bir Telegram kanalında tanıtılan birkaç hack-and-leak operasyonunun da arkasındaydı.
Grubun 2020’de faaliyete geçtiğine inanılıyor ve Ukrayna’da devlet hizmetleri, kolluk kuvvetleri, kar amacı gütmeyen/sivil toplum kuruluşları, BT hizmet sağlayıcıları/danışmanlık ve acil servisleri hedef alıyor.
Microsoft, “Microsoft, Cadet Blizzard operasyonlarının Rusya Genelkurmay Ana İstihbarat Müdürlüğü (GRU) ile ilişkili olduğunu, ancak Forest Blizzard (STRONTIUM) ve Seashell Blizzard (IRIDIUM) gibi diğer bilinen ve daha köklü GRU bağlantılı gruplardan ayrı olduğunu değerlendiriyor” dedi. .
“Rusya’nın Ukrayna’yı işgal etmesinden bir ay önce, Cadet Blizzard, Ukrayna hükümet kuruluşlarına karşı Ana Önyükleme Kayıtlarını (MBR’ler) silen yıkıcı bir yetenek olan WhisperGate’i oluşturup devreye aldığında gelecekteki yıkıcı faaliyetlerin habercisi oldu.”
Microsoft, Cadet Blizzard’ın saldırılarının, APT28 (Strontium, Fancy Bear) ve Sandworm (Iridium) gibi diğer GRU bağlantılı bilgisayar korsanlığı gruplarına kıyasla nispeten daha düşük bir başarı oranına sahip olduğunu söylüyor.
Cadet Blizzard, Haziran 2022’den sonra radardan düşerken, grup 2023’ün başlarında yeniden ortaya çıktı ve daha yakın tarihli siber operasyonları ara sıra başarılı oldu. Ancak, yine de GRU muadillerinin saldırılarının elde ettiği etkiye yetişemediler.
2022’deki tahrifatlar ve veri silme saldırılarından bu yana ve Şubat 2023’te başlayan GRU bilgisayar korsanlığı grubu, Ukrayna devlet kurumlarını ve BT sağlayıcılarını hedef alan bir dizi saldırının arkasında.
Örneğin Redmond, Şubat ayında Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA) tarafından bildirilen bir dizi ihlalde en az bir olayla bağlantı kurdu ve Rus devlet bilgisayar korsanları tarafından ihlallerin ardından birden fazla hükümet web sitesine yerleştirildiğine dair kanıt bulduğunu söyledi. Aralık 2021’e kadar.
CERT-UA saldırıları, en az Mart 2021’den beri aktif olduğuna inandığı bir grup olan Ember Bear’a bağladı; bilgi hırsızları, arka kapılar ve öncelikle kimlik avı e-postaları yoluyla gönderilen fidye yazılımı olarak kamufle edilmiş veri silicilerle Ukrayna kuruluşlarını hedef alan saldırılarla.
Microsoft’un Müşteri Güvenliği ve Güveninden Sorumlu Kurumsal Başkan Yardımcısı Tom Burt, “Cadet Blizzard haftanın yedi günü aktiftir ve faaliyetlerini birincil hedeflerinin iş dışı saatlerinde, faaliyetinin tespit edilme olasılığının düşük olduğu saatlerde yürütmüştür” dedi.
“Ukrayna’ya ek olarak, Ukrayna’ya askeri yardım sağlayan NATO üye ülkelerine de odaklanıyor.”