I ricercatori di Microsoft hanno descritto in dettaglio l’attore della minaccia che si cela dietro il malware distruttivo WhisperGate – diffuso negli attacchi del gennaio 2022 contro diverse organizzazioni ucraine – e hanno identificato il gruppo come un team distinto legato al servizio di intelligence militare russo GRU.
Il gruppo, chiamato Cadet Blizzard (precedentemente tracciato da Microsoft come DEV-0586), è noto per le sue operazioni che probabilmente supportano obiettivi militari più ampi in Ucraina. Particolarmente interessante è stata la distribuzione di WhisperGate da parte del gruppo un mese prima dell’invasione dell’Ucraina da parte della Russia, ampiamente pubblicizzata sia dal governo statunitense che dai ricercatori. WhisperGate è mascherato da ransomware, ma in realtà è progettato per cancellare il Master Boot Record (MBR) dei computer infetti ed eliminare tutti i loro dati.
Microsoft ha anche collegato Cadet Blizzard alla serie di defacement di siti web di organizzazioni ucraine nel gennaio 2022 e a un forum chiamato “Free Civilian” in cui sono stati divulgati dati esfiltrati da organizzazioni ucraine compromesse.
“Microsoft ha monitorato Cadet Blizzard dal dispiegamento di WhisperGate nel gennaio 2022”, hanno dichiarato i ricercatori Microsoft in un’analisi di mercoledì. “Riteniamo che sia stato operativo in qualche modo almeno dal 2020 e che continui a eseguire operazioni di rete fino a oggi. Operativamente coerente con il mandato e gli obiettivi valutati delle operazioni guidate dal GRU durante l’invasione dell’Ucraina da parte della Russia, Cadet Blizzard si è impegnato in attacchi distruttivi mirati, spionaggio e operazioni informative in aree regionalmente significative”.
Microsoft ha dichiarato che l’emergere di un nuovo attore di minacce affiliato alla Direzione principale dell’intelligence dello Stato Maggiore russo (GRU) è “un notevole sviluppo nel panorama delle minacce informatiche russe”. In precedenza, un numero limitato di gruppi di minacce era affiliato al GRU. Tra questi, Strontium (noto anche come Fancy Bear, APT28 e Forest Blizzard) e Iridium (noto anche come Seashell Blizzard).
“Microsoft ritiene che gli Stati membri della NATO coinvolti nella fornitura di aiuti militari all’Ucraina siano maggiormente a rischio”.
Sebbene le operazioni di Cadet Blizzard siano meno prolifiche di quelle di questi attori più affermati, i suoi attacchi sono significativi in quanto strutturati in base all’impatto, all’interruzione delle operazioni di rete e all’esposizione di dati sensibili, ha dichiarato Microsoft.
“Cadet Blizzard cerca di portare avanti azioni di disturbo, distruzione e raccolta di informazioni, utilizzando qualsiasi mezzo a disposizione e agendo talvolta in modo disordinato”, hanno dichiarato i ricercatori. “Sebbene il gruppo presenti un rischio elevato a causa della sua attività distruttiva, sembra operare con un grado di sicurezza operativa inferiore a quello di gruppi russi avanzati e di lunga data come Seashell Blizzard e Forest Blizzard“.
Mentre Microsoft ha osservato il picco delle campagne di Cadet Blizzard tra gennaio e giugno 2022, il gruppo ha compromesso diverse entità dell’Europa orientale nei settori governativo e tecnologico già nell’aprile 2021 e si ritiene che abbia iniziato le operazioni nel 2020. Sono state prese di mira anche vittime in Asia centrale e in America Latina.
Più recentemente, il gruppo è riemerso nel gennaio 2023 con attacchi, tra cui defacement di siti web, contro diverse entità in Ucraina e in Europa. Microsoft ha anche valutato che Cadet Blizzard era dietro un tentativo di attacco del febbraio 2023 contro un sistema informatico statale ucraino, riportato dal CERT-UA. Infine, quest’anno il gruppo ha anche creato un nuovo canale Telegram con il nome “Free Civilian”, precedentemente utilizzato dal suo forum di hack-and-leak. Sebbene il canale pubblico abbia solo 1,3 mila follower, il che indica una scarsa interazione con gli utenti, secondo i ricercatori di Microsoft il nuovo canale suggerisce che il gruppo intende continuare a lanciare operazioni legate all’informazione.
Mentre le credenziali legittime rubate sono state probabilmente utilizzate per l’accesso iniziale alle reti bersaglio negli attacchi WhisperGate del gennaio 2022, Microsoft ha dichiarato che Cadet Blizzard ha una serie di tattiche di accesso iniziale, in genere sfruttando i server Web che si trovano nei perimetri di rete e nelle DMZ. Il gruppo ha anche sfruttato vulnerabilità come quelle di Confluence (CVE-2021-26084) e di Exchange (CVE-2022-41040 e ProxyShell).
“Gli attori di Cadet Blizzard sono attivi sette giorni su sette e hanno condotto le loro operazioni durante le ore di non lavoro dei loro principali obiettivi europei”, hanno dichiarato i ricercatori. “Microsoft ritiene che gli Stati membri della NATO coinvolti nella fornitura di aiuti militari all’Ucraina siano più a rischio”.