Microsoft пов’язав хакерські атаки із новою групою ГРУ росії
Корпорація Майкрософт із квітня 2023 року пов’язує групу загроз, яку вона відстежувала як Cadet Blizzard, з Головним управлінням Генерального штабу ЗС росії (також відомим як ГРУ). Про це пише Bleeping Computer.
Раніше компанія пов’язувала цю хакерську групу з атаками зі знищення даних WhisperGate в Україні, які почалися 13 січня 2022 року, більш ніж за місяць до російського вторгнення в Україну в лютому 2022 року.
Cadet Blizzard також стояла за пошкодженням українських вебсайтів на початку 2022 року та кількома операціями зі зламу та витоку даних, які просувалися на Telegram-каналі, відомому як «Free Civilian».
Вважається, що група розпочала свою діяльність у 2020 році, обравши пріоритетними цілями державні служби, правоохоронні органи, некомерційні/неурядові організації, постачальників ІТ-послуг/консультантів та служби екстреної допомоги в Україні.
«За оцінками Microsoft, операції Cadet Blizzard пов’язані з Головним розвідувальним управлінням Генерального штабу росії (ГРУ), але вони відокремлені від інших відомих і більш авторитетних груп, пов’язаних із ГРУ, таких як Forest Blizzard (STRONTIUM) та Seashell Blizzard (IRIDIUM)», – йдеться в повідомленні Microsoft.
Компанія стверджує, що атаки Cadet Blizzard мають нижчий рівень успішності порівняно з іншими хакерськими групами, пов’язаними з ГРУ, такими як APT28 (Strontium, Fancy Bear) і Sandworm (Iridium).
Хоча Cadet Blizzard зникла з радарів після червня 2022 року, група знову з’явилася на початку 2023 року, а її нещодавні кібероперації час від часу були успішними. Однак вони все одно не змогли досягти того впливу, якого досягли атаки їхніх «колег» із ГРУ.
З атак на пошкодження та знищення даних у 2022 році та з лютого 2023 року хакерська група ГРУ стоїть за атаками на українські урядові організації та ІТ-провайдерів.
Редмонд пов’язав щонайменше один інцидент із серією порушень, про які в лютому повідомила Команда реагування на комп’ютерні надзвичайні події України (CERT-UA), заявивши, що вона знайшла докази, що російські державні хакери встановили бекдори на кількох урядових вебсайтах після порушень, що сталися ще в грудні 2021 року.
CERT-UA пов’язує ці атаки з угрупованням Ember Bear, яке, на думку організації, діє щонайменше з березня 2021 року та атакує українські організації за допомогою програм-крадіїв інформації, бекдорів та знищувачів даних, замаскованих під програми-вимагачі, які переважно надсилаються через фішингові електронні листи.
Також в Microsoft вважають, що Cadet Blizzard зосереджується й на країнах-членах НАТО, які надають військову допомогу Україні.
Нагадаємо, що навесні німецька поліція заявила, що припинила діяльність пов’язаного з росією кіберзлочинного угруповання, яке роками шантажувало великі компанії та установи, заробляючи мільйони євро. Працюючи з партнерами з правоохоронних органів, включаючи Європол, ФБР і владу України, поліція Дюссельдорфа заявила, що змогла ідентифікувати 11 осіб, пов’язаних з групою, яка діяла під різними іменами щонайменше з 2010 року.