Microsoft spojil kybernetické útoky, které od dubna 2023 sleduje pod označením „Cadet Blizzard“, s ruskou Hlavní správou generálního štábu Ozbrojených sil Ruské Federace, známou také pod zkratkou GRU. O dosavadních poznatcích informuje na stránkách Microsoft Security.
Experti z Microsoftu již dříve spojovali novou hackerskou skupinu GRU s destruktivními útoky WhisperGate, jejichž cílem bylo mazání dat z ukrajinských počítačů. Ataky začaly 13. ledna 2022, tedy více než měsíc před ruskou invazí na Ukrajinu v únoru téhož roku.
Za útoky stojí ruská rozvědka
Cadet Blizzard stál také za poškozením několika ukrajinských webových stránek na začátku roku 2022 a řadou hackerských operací, které byly propagovány na relativně málo aktivním telegramovém kanálu známém jako „Free Civilian“.
Předpokládá se, že hackerská skupina zahájila činnost v roce 2020 a prioritně se zaměřuje na vládní služby, donucovací orgány, neziskové a nevládní organizace, poskytovatele IT služeb a poradenství či záchranné složky na Ukrajině.
„Microsoft vyhodnotil, že operace Cadet Blizzard jsou spojeny s Hlavní správou generálního štábu Ozbrojených sil Ruské Federace (GRU), ale jsou odděleny od jiných známých a zavedenějších skupin napojených na GRU, jako jsou Forest Blizzard (Strontium) a Seashell Blizzard (Iridium),“ uvádí se v prohlášení.
„Měsíc před ruskou invazí na Ukrajinu Cadet Blizzard předznamenal svou budoucí činnost, když vytvořil a nasadil WhisperGate – destruktivní technologii, která maže hlavní spouštěcí záznam (MBR) na pevných discích – proti ukrajinským vládním organizacím,“ upřesňuje začátky nekalých ruských aktivit v kybernetickém prostoru.
Útoky mimo pracovní dobu
Odborníci tvrdí, že útoky skupiny Cadet Blizzard mají ve srovnání s jinými hackerskými skupinami napojenými na GRU, jako jsou APT28 (Strontium, Fancy Bear) a Sandworm (Iridium), relativně nižší úspěšnost. V červnu 2022 skupina Cadet Blizzard zmizela, nicméně na začátku roku 2023 se znovu objevila a její novější operace zaznamenaly občasné úspěchy. Stále se však nedokázaly vyrovnat dopadu, jakého dosáhly útoky jejich protějšků z GRU.
Od útoků s cílem spočívajícím ve vymazání dat v roce 2022 stála hackerská skupina GRU za přívalem útoků zaměřených na ukrajinské vládní organizace a poskytovatele informačních technologií. Experti například našli důkazy o zadních vrátkách umístěných ruským státem podporovanými hackery na několika vládních webových stránkách.
Ukrajinský tým pro řešení počítačových havarijních situací (CERT-UA) spojuje útoky se skupinou Ember Bear, která je podle něj aktivní přinejmenším od března 2021 a útočí na ukrajinské organizace pomocí nástrojů pro krádež informací, zadních vrátek a vymazávání dat maskovaných jako ransomware, které jsou doručovány především prostřednictvím phishingových e-mailů.
„Cadet Blizzard je aktivní sedm dní v týdnu a své operace prováděl v mimopracovní době svých primárních cílů, kdy je méně pravděpodobné, že bude jeho aktivita odhalena,“ uvedl viceprezident společnosti Microsoft pro bezpečnost a důvěru zákazníků Tom Burt.