Een groep Russische cyberaanvallers is een maand voor de Russische invasie van Oekraïne begonnen met het aanvallen van Oekraïense overheidsorganisaties. Ze zouden daarbij zoveel mogelijk data hebben willen vernietigen, zegt Microsoft.
Zo’n maand voor de invasie zouden Russische groeperingen al destructieve malware hebben uitgerold die zoveel moegelijk Master Boot Records van Oekraïense overheidsorganisaties moesten vernietigen. De aanvallen zijn het werk van een groepering die Microsoft in een analyse Cadet Blizzard noemt. Eerder werd de groep geïdentificeerd als DEV-0568. De groepering zou steun krijgen vanuit de Russische overheid en contacten hebben met de Russische geheime dienst GRU.
Microsoft stelt dat Cadet Blizzard minder bekend en georganiseerd is als andere door de GRU-gesteunde groepen als Forest Blizzard (STRONTIUM) en Seashell Blizzard (IRIDIUM). Tegelijkertijd richt de groep echter veel schade aan met zijn activiteiten.
‘Cadet Blizzard richt zich op het verstoren, vernietigen en verzamelen van informatie, ongeacht de middelen die zij hiervoor beschikbaar hebben, en werkt soms in een lukrake manier’, schrijft Microsoft. ‘Hoewel de groep een hoog risico met zich meebrengt door hun destructieve activiteiten, lijken zij te opereren met een lager niveau van operationele veiligheid dan gevestigde en geavanceerde Russische groeperingen als Seashell Blizzard en Forest Blizzard.’
De groepering richt zich op diverse aanvallen, waaronder het bekladden van websites van Oekraïense organisaties evenals het stelen en laten uitlekken van informatie. Denk echter ook aan de inzet van destructieve malware, met als doel het vernietigen van data. Hiervoor ontwikkelde de groepering onder meer de malware WhisperGate. De groep is volgens Microsoft tot de dag van vandaag actief.
Naast Oekraïense doelen zijn ook organisaties in Europa en Latijns-Amerika doelwit geworden van Cadet Blizzard. De primaire doelwitten lijken echter overheidsorganisaties en IT-providers in Oekraïne te zijn.
In samenwerking met Dutch IT Channel
