自 2023 年 4 月以来，微软已将其追踪为 Cadet Blizzard 的威胁组织与俄罗斯武装部队总参谋部总局（也称为 GRU）联系起来。该公司此前将这个新的 GRU 黑客组织与 2022 年 1 月 13 日在乌克兰开始的破坏性 WhisperGate 数据擦除攻击挂钩，这比 2022 年 2 月俄罗斯入侵乌克兰早了一个多月。

Cadet Blizzard 还支持在 2022 年初对乌克兰网站进行破坏，并在一个名为“自由平民”的低活跃度 Telegram 频道上推广了几次黑客和泄密行动。

据信该组织已于 2020 年开始运营，优先针对乌克兰的政府服务、执法、非营利/非政府组织、IT 服务提供商/咨询和紧急服务。

“微软评估 Cadet Blizzard 的行动与俄罗斯总参谋部主要情报局 (GRU) 有关，但与其他已知和更成熟的 GRU 附属组织分开，例如森林暴雪 (STRONTIUM) 和贝壳暴雪 (IRIDIUM)，”微软表示。

“在俄罗斯入侵乌克兰前一个月，Cadet Blizzard 在创建和部署 WhisperGate 时预示了未来的破坏性活动，WhisperGate 是一种破坏性的能力，可以擦除主引导记录 (MBR)，针对乌克兰政府组织。”

Cadet Blizzard 攻击流程

微软表示，与 APT28（Strontium、Fancy Bear）和 Sandworm（Iridium）等其他 GRU 附属黑客组织相比，Cadet Blizzard 的攻击成功率相对较低。

虽然 Cadet Blizzard 在 2022 年 6 月之后逐渐淡出人们的视线，但该组织在 2023 年初重新浮出水面，其最近的网络行动偶尔会取得成功。 然而，他们仍然无法与 GRU 同行的攻击所产生的影响相提并论。

自 2022 年的污损和数据擦除攻击以及从 2023 年 2 月开始以来，GRU 黑客组织一直是针对乌克兰政府组织和 IT 提供商的一连串攻击的幕后黑手。

例如，Redmond 将乌克兰计算机应急响应小组 (CERT-UA) 在 2 月份报告的一系列违规事件中的至少一起事件联系起来，并表示在违规行为发生后，它发现了俄罗斯国家黑客在多个政府网站上植入后门的证据 最早可以追溯到 2021 年 12 月。

CERT-UA 将这些攻击与 Ember Bear 联系起来，该组织认为至少自 2021 年 3 月以来一直活跃，该组织利用信息窃取程序、后门和伪装成勒索软件的数据擦除器对乌克兰组织进行攻击，主要通过网络钓鱼电子邮件进行传播。

“Cadet Blizzard 每周活跃 7 天，并在其活动不太可能被发现的主要目标的下班时间开展业务，”微软公司客户安全与信任副总裁 Tom Burt 说。“除了乌克兰，它还关注参与向乌克兰提供军事援助的北约成员国。”