.
Aqui está uma história curiosa sobre uma equipe altamente destrutiva, mas esquisita, apoiada pelo Kremlin, que esteve ativa durante os primeiros dias da invasão da Ucrânia pela Rússia e depois ficou relativamente quieta – até este ano.
De forma detalhada relatório esta semana, analistas da unidade de inteligência de ameaças da Microsoft descreveram o trabalho de um grupo que eles chamam de Cadet Blizzard (anteriormente rastreado como DEV-0586), que estava por trás dos meses de limpeza de dados campanha contra agências governamentais da Ucrânia que começou no início de janeiro de 2022.
Essa série de ataques – envolvendo o destrutivo WhisperGate Malware do Windows – fazia parte do aspecto cibernético do maior guerra híbrida conduzida pela Rússia contra seu vizinho menor e apoiadores.
A Microsoft vinculou Cadet Blizzard à unidade de inteligência militar GRU da Rússia. Embora não tenha o mesmo perfil de outras equipes russas patrocinadas pelo estado – como Forest Blizzard (também conhecido como Stronium, APT28 e Fancy Bear) e Seashell Blizzard (Iridium e Sandworm) – a Microsoft diz que “o surgimento de um novo GRU ator afiliado, particularmente aquele que conduziu operações cibernéticas destrutivas, provavelmente apoiando objetivos militares mais amplos na Ucrânia, é um desenvolvimento notável no cenário de ameaças cibernéticas russas”.
Os pesquisadores desenharam uma gangue de criminosos que podem ser perturbadores usando vários modos de ataque – mas são menos prolíficos e menos bem-sucedidos do que os grupos apoiados por GRU mais conhecidos e executam suas operações de maneira desordenada.
“Cadet Blizzard procura conduzir a interrupção, destruição e coleta de informações, usando todos os meios disponíveis e, às vezes, agindo de maneira aleatória”, escreveram eles. “Embora o grupo carregue alto risco devido à sua atividade destrutiva, eles parecem operar com um grau de segurança operacional inferior ao de grupos russos avançados e antigos, como Seashell Blizzard e Forest Blizzard”.
Um histórico de sucesso mais ou menos
Isso transparece no desempenho da equipe, de acordo com Tom Burt, vice-presidente corporativo de segurança e confiança do cliente da Microsoft.
“O que talvez seja mais interessante sobre esse ator é sua taxa de sucesso relativamente baixa em comparação com outros atores afiliados ao GRU”, escreveu Burt em um postagem no blog essa semana.
Ele observou que os ataques de limpeza do sistema da Seashell Blizzard em fevereiro de 2022 afetaram mais de 200 sistemas em 15 organizações. O WhisperGate no mês anterior impactou “uma ordem de magnitude menos sistemas e teve um impacto comparativamente modesto, apesar de ter sido treinado para destruir as redes de seus oponentes na Ucrânia”.
Além disso, mesmo com sucesso, Cadet Blizzard parece falhar. Um canal do Telegram “Free Civilian” – usado pelo grupo para distribuir informações obtidas em operações de hack e vazamento – tinha apenas 1.300 seguidores em fevereiro, com postagens recebendo não mais do que uma dúzia de reações.
No retorno da Cadet Blizzard à atividade intensificada este ano, suas operações, “embora ocasionalmente bem-sucedidas, também falharam em alcançar o impacto daquelas conduzidas por suas contrapartes GRU”, escreveu Burt.
Desleixado, mas perigoso
Dito isso, as organizações não devem baixar a guarda para esses malfeitores. Cadet Blizzard opera desde 2020 e, embora não seja tão prolífico em escala ou escopo quanto outros grupos russos estabelecidos, suas campanhas são projetadas para serem destrutivas. Parece entrar em redes e ficar por aí por meses.
É conhecido por visar agências e órgãos governamentais em áreas como aplicação da lei, serviços de TI e serviços de emergência na Ucrânia, mas também atingiu alvos na Europa, Ásia Central e América Latina – muitas vezes contra organizações que apoiaram a Ucrânia. Na Ucrânia, os ataques variaram de malware de limpeza e desfiguração de sites a roubo e vazamento de informações.
Os membros da OTAN que fornecem ajuda militar à Ucrânia correm maior risco, escreveu Redmond.
Cadet Blizzard explora vulnerabilidades em serviços da web, como Microsoft Exchange e Atlassian Confluence, e então usa técnicas de vida fora da terra para se mover lateralmente pela rede para obter informações como credenciais e e-mail, ou para instalar malware para excluir dados e fazer sistemas inoperáveis. Ele usa shells da web para manter o acesso.
Além disso, ao contrário de seus pares russos que gostam de passar despercebidos durante suas operações, “o resultado de pelo menos algumas operações notáveis da Cadet Blizzard são extremamente perturbadoras e quase certamente destinam-se a ser sinais públicos para seus alvos atingirem o objetivo maior de destruição, perturbação e, possivelmente, intimidação.”
É um grupo barulhento, desleixado às vezes e imprevisível – mas também perigoso.
“Embora não tenha sido o ator russo de maior sucesso, o cadete Blizzard teve algum sucesso recente”, escreveu Burt. ®
.
