Microsoftは、2023年4月からCadet Blizzardとして追跡している脅威グループをロシア軍総参謀本部(GRUとしても知られる)と関連付けている。
同社は以前、この新たなGRUハッキンググループを、2022年2月のロシアによるウクライナ侵攻の1か月以上前の2022年1月13日に始まったウクライナでの破壊的なウィスパーゲートデータ消去攻撃と関連付けていた。
カデット・ブリザードは、2022年初頭のウクライナのウェブサイトの改ざんや、「フリー・シビリアン」として知られる活動の少ないテレグラム・チャンネルで推進されたいくつかのハッキング・アンド・リーク作戦にも関与していた。
このグループは、ウクライナの政府サービス、法執行機関、非営利/非政府組織、ITサービスプロバイダー/コンサルティング、緊急サービスを優先的にターゲットとして活動を開始したと考えられている。
「Microsoftは、Cadet Blizzardの活動はロシア参謀本部情報総局(GRU)と関連しているが、Forest Blizzard(STRONTIUM)やSeashell Blizzard(IRIDIUM)などの他の既知の、より確立されたGRU関連グループとは別のものであると評価している」とMicrosoftは述べた。 。
「ロシアがウクライナに侵攻する1か月前、カデット・ブリザードは、マスター・ブート・レコード(MBR)を消去する破壊的機能であるウィスパーゲートを作成・配備し、ウクライナ政府組織に対して将来の破壊活動を予見した。」
Microsoft は、APT28 (Strontium、Fancy Bear) や Sandworm (Iridium) などの他の GRU 関連のハッキング グループと比較すると、Cadet Blizzard の攻撃の成功率は比較的低いと述べています。
Cadet Blizzardは2022年6月以降、レーダーから消えたが、2023年初めに再浮上し、最近のサイバー作戦は時折成功を収めている。しかし、彼らは依然として、GRU のカウンターパートの攻撃が達成した影響に匹敵することはできませんでした。
2022年の改ざんとデータ消去攻撃、そして2023年2月以降、GRUハッカーグループはウクライナ政府機関とITプロバイダーを標的とした集中攻撃の背後にいる。
たとえば、レドモンドは、2月にウクライナコンピュータ緊急対応チーム(CERT-UA)が報告した一連の侵害のうち少なくとも1件を関連付け、一連の侵害後にロシア国家ハッカーが複数の政府ウェブサイトにバックドアを仕掛けた証拠を発見したと述べた。 2021 年 12 月まで遡ります。
CERT-UA は、この攻撃を、少なくとも 2021 年 3 月から活動していると考えているグループEmber Bearと関連付けました。この攻撃は、主にフィッシングメールを介して配信されるランサムウェアとして偽装された、 情報窃取者、 バックドア、およびデータワイパーによるウクライナの組織を標的とした攻撃でした。
「Cadet Blizzardは年中無休で活動しており、その活動が検出される可能性が低い主な標的の営業時間外に活動を行っている」とMicrosoftの顧客セキュリティ&トラスト担当コーポレートバイスプレジデントのトム・バート氏は述べた。
「ウクライナに加えて、ウクライナへの軍事援助に関与しているNATO加盟国にも焦点を当てている。」
Comments