A Microsoft relacionou um grupo de ameaças que rastreia como Cadet Blizzard desde abril de 2023 com a Diretoria Principal do Estado-Maior das Forças Armadas da Rússia (também conhecida como GRU).
A empresa anteriormente conectou este novo grupo de hackers da GRU com os ataques de destruição de dados do WhisperGate na Ucrânia, que começaram em 13 de janeiro de 2022, mais de um mês antes da invasão russa da Ucrânia em fevereiro de 2022.
Cadet Blizzard também esteve por trás da desfiguração de sites ucranianos no início de 2022 e várias operações de hack-and-leak que foram promovidas em um canal de Telegram de baixa atividade conhecido como 'Free Civilian'.
Acredita-se que o grupo tenha iniciado operações em 2020, priorizando o direcionamento de serviços governamentais, aplicação da lei, organizações sem fins lucrativos/não governamentais, provedores/consultoria de serviços de TI e serviços de emergência na Ucrânia.
"A Microsoft avalia que as operações do Cadet Blizzard estão associadas à Diretoria de Inteligência Principal do Estado-Maior General Russo (GRU), mas são separadas de outros grupos afiliados à GRU conhecidos e mais estabelecidos, como Forest Blizzard (STRONTIUM) e Seashell Blizzard (IRIDIUM)", disse a Microsoft.
"A um mês da invasão da Ucrânia pela Rússia, o Cadet Blizzard pressagiou futuras atividades destrutivas quando criou e implantou o WhisperGate, uma capacidade destrutiva que apaga registros de boot principais (MBRs), contra organizações governamentais ucranianas."
A Microsoft diz que os ataques do Cadet Blizzard têm uma taxa de sucesso relativamente menor quando comparados a outros grupos de hackers afiliados à GRU, como APT28 (Strontium, Fancy Bear) e Sandworm (Iridium).
Embora o Cadet Blizzard tenha caído do radar após junho de 2022, o grupo ressurgiu no início de 2023, com suas operações cibernéticas mais recentes vendo sucesso ocasional.
No entanto, eles ainda não conseguiram igualar o impacto dos ataques de seus colegas da GRU.
Desde as desfigurações e ataques de destruição de dados de 2022 e a partir de fevereiro de 2023, o grupo de hackers da GRU esteve por trás de uma série de ataques direcionados a organizações governamentais e provedores de TI ucranianos.
Por exemplo, a Redmond vinculou pelo menos um incidente em uma série de violações relatadas pelo Computer Emergency Response Team da Ucrânia (CERT-UA) em fevereiro, dizendo que encontrou evidências de backdoors plantados por hackers estatais russos em vários sites do governo após violações que remontam a dezembro de 2021.
CERT-UA vinculou os ataques ao Ember Bear, um grupo que acredita estar ativo desde pelo menos março de 2021, com ataques direcionados a organizações ucranianas com roubo de informações, backdoors e limpadores de dados camuflados como ransomware, principalmente entregues por meio de e-mails de phishing.
"O Cadet Blizzard está ativo sete dias por semana e conduz suas operações durante as horas fora do expediente de seus alvos principais, quando sua atividade é menos provável de ser detectada", disse Tom Burt, vice-presidente corporativo de segurança e confiança do cliente da Microsoft.
"Além da Ucrânia, também se concentra em estados membros da NATO envolvidos em fornecer ajuda militar à Ucrânia."
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...