微软：俄罗斯派出 B 队擦除乌克兰硬盘

这是一个奇怪的故事，讲述了一个在俄罗斯入侵乌克兰初期活跃的极具破坏性但又古怪的克里姆林宫支持的船员，然后变得相对安静 - 直到今年。

在本周的一份详细报告中，微软威胁情报部门的分析师概述了一个他们称为 Cadet Blizzard（以前称为 DEV-0586）的组织的工作，该组织是针对乌克兰政府机构长达数月的数据擦除活动的幕后黑手2022 年 1 月上旬开始。

这一系列攻击——涉及破坏性的WhisperGate Windows 恶意软件——是俄罗斯针对其较小的邻国和支持者进行的更大规模混合战争的网络方面的一部分。

微软将 Cadet Blizzard 与俄罗斯的 GRU 军事情报部门联系起来。虽然它与其他由国家资助的俄罗斯团队——如 Forest Blizzard（也称为 Stronium、APT28 和 Fancy Bear）和 Seashell Blizzard（Iridium 和 Sandworm）不同——微软表示“新型 GRU 的出现附属行为体，尤其是进行破坏性网络行动的行为体可能支持乌克兰更广泛的军事目标，是俄罗斯网络威胁领域的一个显着发展。”

研究人员描绘了一群不法分子，他们可以使用多种攻击模式进行破坏——但与更知名的 GRU 支持的团体相比，他们的生产力和成功率较低，并且以无序的方式运作。

“Cadet Blizzard 寻求进行破坏、破坏和信息收集，使用任何可用的手段，有时以随意的方式行事，”他们写道。“虽然该组织因其破坏性活动而面临高风险，但与 Seashell Blizzard 和 Forest Blizzard 等长期和先进的俄罗斯组织相比，他们的运营安全性似乎较低。”

马马虎虎的成功记录

微软负责客户安全和信任的公司副总裁汤姆伯特表示，这体现在机组人员的表现上。

“与其他 GRU 附属演员相比，这个演员最有趣的地方可能是它的成功率相对较低，”伯特在本周的一篇博客文章中写道。

他指出，Seashell Blizzard 在 2022 年 2 月发起的系统擦除攻击影响了 15 个组织的 200 多个系统。一个月前的 WhisperGate 影响了“一个数量级的系统，并且产生了相对温和的影响，尽管它被训练用来摧毁他们在乌克兰的对手的网络。”

此外，即使取得了成功，Cadet Blizzard 似乎也功亏一篑。截至 2 月，一个“免费平民”电报频道——被该组织用来发布从黑客和泄密行动中获得的信息——只有 1300 名粉丝，帖子得到的反应不超过 12 个。

在 Cadet Blizzard 今年恢复活跃的过程中，其运营“虽然偶尔会成功，但同样未能达到其 GRU 同行所进行的影响，”Burt 写道。

草率但危险

也就是说，组织不应该对这些不法分子放松警惕。Cadet Blizzard 自 2020 年以来一直在运营，虽然在规模或范围上不如其他老牌俄罗斯团体那样多产，但其活动旨在具有破坏性。它看起来进入网络并停留数月。

它以乌克兰境内执法、IT 服务和紧急服务等领域的政府机构和机构为目标而闻名，但它也打击欧洲、中亚和拉丁美洲的目标——通常是针对支持乌克兰的组织。在乌克兰，攻击范围从擦除器恶意软件和网站污损到信息窃取和泄露。

雷德蒙德写道，向乌克兰提供军事援助的北约成员国面临更大的风险。

Cadet Blizzard 利用 Web 服务中的漏洞，例如 Microsoft Exchange 和 Atlassian Confluence，然后使用离地技术在网络中横向移动以获取凭证和邮件等信息，或投放恶意软件以删除数据并使系统无法运行。它使用网络外壳来维护访问。

此外，与喜欢在行动期间不被发现的俄罗斯同行不同，“至少一些著名的 Cadet Blizzard 行动的结果极具破坏性，几乎可以肯定是为了向他们的目标发出公开信号，以实现更大的破坏目标，破坏，可能还有恐吓。”

这是一个吵闹、有时马虎、碰运气的团体——但也很危险。

“虽然它不是最成功的俄罗斯演员，但 Cadet Blizzard 最近取得了一些成功，”伯特写道。