Microsoft destapó el miércoles a un «nuevo y distinto actor de amenazas ruso», que, según dijo, está vinculado a la Dirección Principal de Inteligencia del Estado Mayor General (GRU) y tiene una «tasa de éxito relativamente baja».
El equipo de Threat Intelligence del gigante tecnológico, que anteriormente estaba rastreando al grupo bajo su apodo emergente. DEV-0586lo ha graduado a un actor nombrado doblado Ventisca de cadetes.
«Cadet Blizzard busca llevar a cabo la interrupción, la destrucción y la recopilación de información, utilizando cualquier medio disponible y, a veces, actuando de manera aleatoria», dijo la compañía. dicho.
«Si bien el grupo conlleva un alto riesgo debido a su actividad destructiva, parece operar con un grado más bajo de seguridad operativa que el de los grupos rusos avanzados y de larga data como Seashell Blizzard y Forest Blizzard».
Cadet Blizzard salió a la luz por primera vez en enero de 2022 en relación con una actividad cibernética destructiva dirigida a Ucrania utilizando un nuevo malware de limpieza llamado WhisperGate (también conocido como PAYWIPE) en las semanas previas a la invasión militar rusa del país.
El actor patrocinado por el estado, según Microsoft, tiene un historial de orquestación de ataques destructivos, espionaje y operaciones de información dirigidas a entidades ubicadas en Ucrania, Europa, Asia Central y, periódicamente, América Latina.
Se sospecha que ha estado operativo en cierta medida desde al menos 2020, las intrusiones montadas por Cadet Blizzard se han centrado predominantemente en agencias gubernamentales, fuerzas del orden, organizaciones sin fines de lucro y no gubernamentales, proveedores de servicios de TI y servicios de emergencia.
«Cadet Blizzard está activo los siete días de la semana y ha llevado a cabo sus operaciones fuera del horario comercial de sus objetivos principales, cuando es menos probable que se detecte su actividad», Tom Burt de Microsoft. dicho. “Además de Ucrania, también se enfoca en los estados miembros de la OTAN involucrados en brindar ayuda militar a Ucrania”.
Vale la pena señalar que Cadet Blizzard también se superpone con grupos monitoreados por la comunidad de ciberseguridad más amplia bajo los nombres Oso de ascuas (CrowdStrike), FROZENVISTA (Google TAG), Nodaria (Symantec), TA471 (Proofpoint), UAC-0056 (CERT-UA) y UNC2589 (Google Mandiant).
Además de WhisperGate, se sabe que el equipo de hackers aprovecha una gran cantidad de armas para su arsenal, incluidas SaintBot, OutSteel, GraphSteel, GrimPlant y, más recientemente, Graphiron. Microsoft ha atribuido a SaintBot y OutSteel a un grupo de actividad relacionado denominado Storm-0587.
🔐 Dominio de la seguridad de API: comprensión de su verdadera superficie de ataque
Descubra las vulnerabilidades sin explotar en su ecosistema de API y tome medidas proactivas hacia una seguridad inquebrantable. ¡Únase a nuestro seminario web perspicaz!
«Cadet Blizzard también está vinculado a las desfiguraciones de varios sitios web de organizaciones ucranianas, así como múltiples operaciones, incluido el foro de pirateo y filtración conocido como ‘Free Civilian'», agregó Microsoft.
Otro oficio notable implica el uso de técnicas de vivir fuera de la tierra (LotL) después de obtener el acceso inicial para lograr el movimiento lateral, recopilar credenciales y otra información, y desplegar herramientas para facilitar la evasión y la persistencia de la defensa.
Los ataques cibernéticos, por su parte, se logran mediante la explotación de fallas conocidas en servidores web expuestos (por ejemplo, Atlassian Confluence y Microsoft Exchange Server) y sistemas de administración de contenido.
«A medida que continúa la guerra, la actividad de Cadet Blizzard plantea un riesgo cada vez mayor para la comunidad europea en general, específicamente cualquier ataque exitoso contra gobiernos y proveedores de servicios de TI, lo que puede brindar al actor una visión tanto táctica como estratégica de las operaciones y políticas occidentales en torno al conflicto». ”, señaló Microsoft.