Microsoft е свързала група за заплахи, която от април 2023 г. следи като Cadet Blizzard, с Главното управление на Генералния щаб на въоръжените сили на Русия (известно още като ГРУ).

Преди това компанията свърза тази нова хакерска група на ГРУ с разрушителните атаки за изтриване на данни WhisperGate в Украйна, които започнаха на 13 януари 2022 г., повече от месец преди руската инвазия в Украйна през февруари 2022 г.

Cadet Blizzard също така стои зад опорочаването на украински уебсайтове в началото на 2022 г. и няколко операции за хакване и изтичане на информация, които бяха популяризирани в канал в Telegram с ниска активност, известен като „Free Civilian“.

Смята се, че групата е започнала операциите си през 2020 г., като приоритетно се е насочила към правителствени служби, правоприлагащи органи, нестопански/неправителствени организации, доставчици на ИТ услуги/консултации и служби за спешна помощ в Украйна.

„Microsoft оценява, че операциите на Cadet Blizzard са свързани с Главното разузнавателно управление на Генералния щаб на Русия (ГРУ), но са отделени от други известни и по-утвърдени групи, свързани с ГРУ, като Forest Blizzard (STRONTIUM) и Seashell Blizzard (IRIDIUM)“, заяви Microsoft.

„Месец преди Русия да нахлуе в Украйна, Cadet Blizzard предрече бъдеща разрушителна дейност, когато създаде и разгърна WhisperGate – разрушителна способност, която изтрива главните записи за зареждане (Master Boot Records – MBR) – срещу украински правителствени организации.“

Microsoft твърди, че атаките на Cadet Blizzard имат относително по-нисък процент на успеваемост в сравнение с други хакерски групи, свързани с ГРУ, като APT28 (Strontium, Fancy Bear) и Sandworm (Iridium).

Макар че Cadet Blizzard отпада от радара след юни 2022 г., групата се появява отново в началото на 2023 г., като при по-новите ѝ кибероперации се наблюдава случаен успех. Въпреки това те все още не успяват да се сравнят с въздействието, което постигат атаките на техните колеги от ГРУ.

След атаките за дефазиране и изтриване на данни през 2022 г. и от февруари 2023 г. хакерската група на ГРУ стои зад поредица от атаки, насочени към украински правителствени организации и ИТ доставчици.

Например, Редмънд свързва поне един инцидент от поредицата пробиви, докладвани от Екипа за реагиране при компютърни инциденти на Украйна (CERT-UA) през февруари, като заявява, че е открил доказателства за задни вратички, заложени от руски държавни хакери на множество правителствени уебсайтове след пробиви още през декември 2021 г.

CERT-UA свързва атаките с Ember Bear – група, която според нея е активна поне от март 2021 г., като атаките са насочени към украински организации с устройства за кражба на информация, задни вратички и изтриване на данни, маскирани като софтуер за откуп, доставяни предимно чрез фишинг имейли.

„Cadet Blizzard е активен седем дни в седмицата и е провеждал операциите си в извънработно време на основните си цели, когато е по-малко вероятно дейността му да бъде засечена“, заяви Том Бърт, корпоративен вицепрезидент на Microsoft по сигурността и доверието на клиентите.

„Освен върху Украйна, той се фокусира и върху държави – членки на НАТО, участващи в предоставянето на военна помощ на Украйна.“