Im Kontext des russischen Angriffskrieges in der Ukraine hat das Threat-Intelligence Team von Microsoft eine neue, eigenständige Angreifergruppierung identifiziert, die dem russischen Militärgeheimdienst GRU zugeordnet wird. Die Gruppierung wird von Microsoft als Cadet Blizzard bezeichnet.
Die Gruppierung ist seit mindestens Januar 2022 im Vorfeld des Einmarsches in die Ukraine durch russische Truppen aktiv. Zunächst wurden durch die Gruppierung Defacements von Webseiten ukrainischer Regierungsorganisationen durchgeführt. Im Nachgang erfolgten Sabotageangriffe mit der destruktiven WhisperGate Malware, bei der es sich um einen Wiper handelt, der die betroffenen Systeme unter anderem durch Überschreiben des Master Boot Records unbrauchbar macht. Das unterscheidet die Gruppierung von anderen nachrichtendienstlich gesteuerten Angreifern, die normalerweise versuchen, vollständig verdeckt zu operieren.
Bereits Monate vor dem Durchführen der Sabotagehandlungen findet die eigentliche Kompromittierung der Systeme statt. Die
Gruppierung versucht in der Folgezeit, relevante Informationen zu exfiltrieren, bevor die Angriffe durch Einsatz des Whipers abgeschlossen
werden. Die Kompromittierung der Opfer erfolgte in der Vergangenheit hauptsächlich über schwachstellenbehaftete Webserver. Nach
dem Eindringen in die Systeme bediente sich die Gruppierung unter anderem Living-Off-The-Land-Techniken, um einer Entdeckung zu entgehen.
Microsoft stellt eine umfassende Analyse
der beobachteten Angriffsmuster bereit.
Im Januar 2023 wurde die Gruppierung erneut aktiv und griff hierbei auch europäische Entitäten außerhalb der Ukraine an.
Die Cyberabwehr des Landesamts für Verfassungsschutz geht davon aus, dass insbesondere auch Deutschland aufgrund militärischer
und ziviler Unterstützungen für die Ukraine in den Fokus der Gruppierung geraten kann.