自2023 年4 月以來，微軟已將其追踪為Cadet Blizzard 的威脅組織與俄羅斯武裝部隊總參謀部總局（也稱為GRU）聯繫起來。該公司此前將這個新的GRU 黑客組織與2022 年1 月13 日在烏克蘭開始的破壞性WhisperGate 數據擦除攻擊掛鉤，這比2022 年2 月俄羅斯入侵烏克蘭早了一個多月。

Cadet Blizzard 還支持在2022 年初對烏克蘭網站進行破壞，並在一個名為“自由平民”的低活躍度Telegram 頻道上推廣了幾次黑客和洩密行動。

據信該組織已於2020 年開始運營，優先針對烏克蘭的政府服務、執法、非營利/非政府組織、IT 服務提供商/諮詢和緊急服務。

“微軟評估Cadet Blizzard 的行動與俄羅斯總參謀部主要情報局(GRU) 有關，但與其他已知和更成熟的GRU 附屬組織分開，例如森林暴雪(STRONTIUM) 和貝殼暴雪(IRIDIUM)，”微軟表示。

“在俄羅斯入侵烏克蘭前一個月，Cadet Blizzard 在創建和部署WhisperGate 時預示了未來的破壞性活動，WhisperGate 是一種破壞性的能力，可以擦除主引導記錄(MBR)，針對烏克蘭政府組織。”

Cadet Blizzard 攻擊流程

微軟表示，與APT28（Strontium、Fancy Bear）和Sandworm（Iridium）等其他GRU 附屬黑客組織相比，Cadet Blizzard 的攻擊成功率相對較低。

雖然Cadet Blizzard 在2022 年6 月之後逐漸淡出人們的視線，但該組織在2023 年初重新浮出水面，其最近的網絡行動偶爾會取得成功。然而，他們仍然無法與GRU 同行的攻擊所產生的影響相提並論。

自2022 年的污損和數據擦除攻擊以及從2023 年2 月開始以來，GRU 黑客組織一直是針對烏克蘭政府組織和IT 提供商的一連串攻擊的幕後黑手。

例如，Redmond 將烏克蘭計算機應急響應小組(CERT-UA) 在2 月份報告的一系列違規事件中的至少一起事件聯繫起來，並表示在違規行為發生後，它發現了俄羅斯國家黑客在多個政府網站上植入後門的證據最早可以追溯到2021 年12 月。

CERT-UA 將這些攻擊與Ember Bear 聯繫起來，該組織認為至少自2021 年3 月以來一直活躍，該組織利用信息竊取程序、後門和偽裝成勒索軟件的數據擦除器對烏克蘭組織進行攻擊，主要通過網絡釣魚電子郵件進行傳播。

“Cadet Blizzard 每週活躍7 天，並在其活動不太可能被發現的主要目標的下班時間開展業務，”微軟公司客戶安全與信任副總裁Tom Burt 說。“除了烏克蘭，它還關注參與向烏克蘭提供軍事援助的北約成員國。”