ウクライナに破壊的マルウェア攻撃を仕掛けたロシアの脅威アクター「カデット・ブリザード」についてMicrosoftが詳細情報を公開

Microsoftが、ロシアから国ぐるみの支援を受けている脅威アクター「カデット・ブリザード(Cadet Blizzard)」の詳細情報を明らかにしました。「カデット・ブリザード」はこれまで「DEV-0586」と呼ばれてきた脅威アクターで、少なくとも2020年から活動しているとみられます。

Cadet Blizzard emerges as a novel and distinct Russian threat actor | Microsoft Security Blog
https://www.microsoft.com/en-us/security/blog/2023/06/14/cadet-blizzard-emerges-as-a-novel-and-distinct-russian-threat-actor/

Ongoing Russian cyberattacks targeting Ukraine - Microsoft On the Issues
https://blogs.microsoft.com/on-the-issues/2023/06/14/russian-cyberattacks-ukraine-cadet-blizzard/

Microsoft links data wiping attacks to new Russian GRU hacking group
https://www.bleepingcomputer.com/news/security/microsoft-links-data-wiping-attacks-to-new-russian-gru-hacking-group/

カデット・ブリザードは、MicrosoftがまだDEV-0586として認識していた2022年1月、ウクライナ政府の関連組織を標的とした、破壊的なマルウェアによる「ウィスパーゲート・ワイパー」攻撃を行っていたグループです。

ウクライナ政府機関を狙う破壊的なマルウェアをMicrosoftが特定、ランサムウェアのような見た目で身代金回収メカニズムなし - GIGAZINE

Microsoftによると、カデット・ブリザードは2020年ごろから活動しており、ヨーロッパやラテンアメリカのさまざまな組織を標的にしているとのこと。特に直近はウクライナと、ウクライナに対して軍事支援を行っているNATO加盟国を標的にしています。2022年6月以降、活動が確認できなくなりましたが、2023年初頭から再び活動しています。

ロシアの脅威アクターとしては「シーシェル・ブリザード(Seashell Blizzard)」や「フォレスト・ブリザード(Forest Blizzard)」が知られています。カデット・ブリザードを含め、いずれの脅威アクターもロシア参謀本部情報総局(GRU)との関連がみられますが、カデット・ブリザードはやや立ち位置が異なるとみられています。

カデット・ブリザードについて、Microsoftは「ウクライナで、より広く軍事目的を支援する可能性が高い破壊的サイバー攻撃を実行したアクターの出現は、ロシアのサイバー犯罪において注目すべき進展」と記しています。

ただし、カデット・ブリザードは他の脅威アクターと比べて成功率が比較的低いことも特徴です。シーシェル・ブリザードが2022年2月に行ったワイパー攻撃は15組織の200以上のシステムに影響を与えるものでしたが、カデット・ブリザードが行ったウィスパーゲート・ワイパー攻撃は、敵ネットワークを破壊するように訓練されたものだったにもかかわらず、影響範囲はケタ違いに狭く、影響も小さかったとのこと。

2023年初頭の活動再開後も攻撃成功率は低いままですが、成功する攻撃もあるため、Microsoftは顧客と情報を共有して可視性を高め、攻撃に対する保護を強化しているとのことです。