Microsoft a lié un groupe de menaces qu’il suit sous le nom de Cadet Blizzard depuis avril 2023 à la Direction principale russe de l’état-major général des forces armées (également connu sous le nom de GRU).
La société a précédemment connecté ce nouveau groupe de piratage GRU aux attaques destructrices d’effacement de données WhisperGate en Ukraine qui ont commencé le 13 janvier 2022, plus d’un mois avant l’invasion russe de l’Ukraine en février 2022.
Cadet Blizzard était également à l’origine de la dégradation de sites Web ukrainiens au début de 2022 et de plusieurs opérations de piratage et de fuite qui ont été promues sur une chaîne Telegram à faible activité connue sous le nom de « Free Civilian ».
Le groupe aurait commencé ses activités en 2020, en ciblant en priorité les services gouvernementaux, les forces de l’ordre, les organisations à but non lucratif/non gouvernementales, les fournisseurs de services informatiques/conseils et les services d’urgence en Ukraine.
« Microsoft estime que les opérations de Cadet Blizzard sont associées à la Direction principale du renseignement de l’état-major russe (GRU), mais sont distinctes d’autres groupes connus et plus établis affiliés au GRU, tels que Forest Blizzard (STRONTIUM) et Seashell Blizzard (IRIDIUM) « , a déclaré Microsoft. .
« Un mois avant que la Russie n’envahisse l’Ukraine, Cadet Blizzard a préfiguré une future activité destructrice lorsqu’il a créé et déployé WhisperGate, une capacité destructrice qui efface les Master Boot Records (MBR) contre les organisations gouvernementales ukrainiennes. »
Microsoft affirme que les attaques de Cadet Blizzard ont un taux de réussite relativement inférieur à celui d’autres groupes de piratage affiliés au GRU comme APT28 (Strontium, Fancy Bear) et Sandworm (Iridium).
Alors que Cadet Blizzard est tombé du radar après juin 2022, le groupe a refait surface au début de 2023, ses cyber-opérations plus récentes connaissant un succès occasionnel. Cependant, ils n’ont toujours pas réussi à égaler l’impact des attaques de leurs homologues du GRU.
Depuis les dégradations et les attaques d’effacement de données de 2022 et à partir de février 2023, le groupe de piratage GRU a été à l’origine d’un déluge d’attaques visant les organisations gouvernementales ukrainiennes et les fournisseurs informatiques.
Par exemple, Redmond a lié au moins un incident dans une série de violations signalées par l’équipe d’intervention d’urgence informatique d’Ukraine (CERT-UA) en février, affirmant qu’elle avait trouvé des preuves de portes dérobées plantées par des pirates de l’État russe sur plusieurs sites Web gouvernementaux à la suite de violations. dès décembre 2021.
Le CERT-UA a lié les attaques à Ember Bear, un groupe qui, selon lui, est actif depuis au moins mars 2021, avec des attaques ciblant des organisations ukrainiennes avec des voleurs d’informations, des portes dérobées et des effaceurs de données camouflés en rançongiciels principalement diffusés via des e-mails de phishing.
« Cadet Blizzard est actif sept jours sur sept et a mené ses opérations pendant les heures creuses de ses principales cibles, lorsque son activité est moins susceptible d’être détectée », a déclaré Tom Burt, vice-président de Microsoft, Customer Security & Trust.
« En plus de l’Ukraine, il se concentre également sur les États membres de l’OTAN impliqués dans la fourniture d’une aide militaire à l’Ukraine. »