Mercredi, Microsoft a dévoilé un “acteur de menace russe nouveau et distinct”, qui, selon lui, est lié à la Direction générale du renseignement de l’état-major (GRU) et a un “taux de réussite relativement faible”.
L’équipe Threat Intelligence du géant de la technologie, qui suivait auparavant le groupe sous son nouveau surnom DEV-0586l’a diplômé à un acteur nommé surnommé Blizzard des cadets.
“Cadet Blizzard cherche à perturber, détruire et collecter des informations, en utilisant tous les moyens disponibles et en agissant parfois de manière aléatoire”, a déclaré la société. a dit.
“Bien que le groupe présente un risque élevé en raison de son activité destructrice, il semble opérer avec un degré de sécurité opérationnelle inférieur à celui de groupes russes avancés et de longue date tels que Seashell Blizzard et Forest Blizzard.”
Cadet Blizzard a été découvert pour la première fois en janvier 2022 dans le cadre d’une cyberactivité destructrice ciblant l’Ukraine à l’aide d’un nouveau malware d’effacement appelé WhisperGate (alias PAYWIPE) dans les semaines précédant l’invasion militaire du pays par la Russie.
L’acteur parrainé par l’État, selon Microsoft, a fait ses preuves dans l’orchestration d’attaques destructrices, d’espionnage et d’opérations d’information visant des entités situées en Ukraine, en Europe, en Asie centrale et, périodiquement, en Amérique latine.
Soupçonnés d’être opérationnels dans une certaine mesure depuis au moins 2020, les intrusions montées par Cadet Blizzard se sont principalement concentrées sur les agences gouvernementales, les forces de l’ordre, les organisations à but non lucratif et non gouvernementales, les fournisseurs de services informatiques et les services d’urgence.
“Cadet Blizzard est actif sept jours sur sept et a mené ses opérations pendant les heures creuses de ses principales cibles, lorsque son activité est moins susceptible d’être détectée”, a déclaré Tom Burt de Microsoft. a dit. “En plus de l’Ukraine, il se concentre également sur les États membres de l’OTAN impliqués dans la fourniture d’une aide militaire à l’Ukraine.”
Il convient de noter que Cadet Blizzard chevauche également des groupes surveillés par la communauté de la cybersécurité au sens large sous les noms Ours braise (CrowdStrike), FROZENVISTA (Google TAG), Nodaria (Symantec), TA471 (Proofpoint), UAC-0056 (CERT-UA) et UNC2589 (Google Mandiant).
Outre WhisperGate, l’équipe de piratage est connue pour exploiter une multitude d’armes pour son arsenal, notamment SaintBot, OutSteel, GraphSteel, GrimPlant et, plus récemment, Graphiron. Microsoft a attribué SaintBot et OutSteel à un cluster d’activités connexe appelé Storm-0587.
🔐 Maîtriser la sécurité des API : Comprendre votre véritable surface d’attaque
Découvrez les vulnérabilités inexploitées de votre écosystème d’API et prenez des mesures proactives pour une sécurité à toute épreuve. Rejoignez notre webinaire perspicace !
“Cadet Blizzard est également lié aux défigurations de plusieurs sites Web d’organisations ukrainiennes, ainsi que de multiples opérations, y compris le forum de piratage et de fuite connu sous le nom de “Free Civilian””, a ajouté Microsoft.
D’autres métiers notables impliquent l’utilisation de techniques de vie hors de la terre (LotL) après l’obtention d’un accès initial pour réaliser un mouvement latéral, collecter des informations d’identification et d’autres informations, et déployer des outils pour faciliter l’évasion et la persistance de la défense.
Les cyberattaques, quant à elles, sont réalisées par l’exploitation de failles connues dans les serveurs Web exposés (par exemple, Atlassian Confluence et Microsoft Exchange Server) et les systèmes de gestion de contenu.
“Alors que la guerre se poursuit, l’activité des cadets Blizzard pose un risque croissant pour la communauté européenne au sens large, en particulier toute attaque réussie contre les gouvernements et les fournisseurs de services informatiques, ce qui peut donner à l’acteur un aperçu à la fois tactique et stratégique des opérations occidentales et de la politique entourant le conflit. “, a noté Microsoft.