Российская хакерская группа Secret Blizzard, которую американские власти считают частью ФСБ, организовала масштабную кампанию кибершпионажа за иностранными посольствами в России, говорится в опубликованном в четверг отчете службы Microsoft Threat Intelligence.
Детали. В феврале 2025 года Microsoft Threat Intelligence зафиксировала атаку Secret Blizzard на иностранные посольства в Москве. Кампания началась не позднее 2024 года, говорится в отчете.
- Хакеры использовали тактику «посредника посередине» (adversary-in-the-middle, AiTM) для внедрения специально разработанного вредоносного ПО под названием ApolloShadow, сообщила Microsoft Threat Intelligence. ApolloShadow обладает возможностью установки доверенного корневого сертификата, позволяющего обмануть системы и заставить их воспринимать вредоносные ресурсы как легитимные, говорится в отчете. Это, по данным Microsoft Threat Intelligence, обеспечивает хакерам устойчивый доступ к дипломатическим устройствам, вероятно, с целью сбора разведывательной информации.
- Ключевую роль в реализации стратегии AiTM, вероятно, играет Система оперативно-розыскных мероприятий (СОРМ), говорится в отчете.
- Secret Blizzard, предположительно, устанавливает корневые сертификаты под видом антивируса Kaspersky, сообщила Microsoft Threat Intelligence. Это позволяет просматривать большую часть интернет-трафика жертвы, включая передаваемые токены и учетные данные, говорится в отчете. Аналогичные методы группировка уже применяла при атаках на министерства иностранных дел в Восточной Европе.
- Заявление Microsoft — это первое подтверждение, что у Secret Blizzard есть технические возможности для кибершпионажа внутри России на уровне интернет-провайдеров. «Это означает, что дипломатический персонал, использующий российские телекоммуникационные услуги, с высокой вероятностью является целью Secret Blizzard», — говорится в отчете.
- МИД России не ответил на запрос Bloomberg прокомментировать информацию Microsoft.
- В «Лаборатории Касперского» агентству заявили, что «надежные бренды часто используются в качестве приманки без их ведома или согласия». «Мы всегда рекомендуем загружать приложения только из официальных источников и проверять подлинность любых сообщений, якобы исходящих от надежных компаний», — заявил представитель «Лаборатории Касперского».
Контекст. По данным Агентства по кибербезопасности и инфраструктуре США (CISA), Secret Blizzard связан с Центром 16 ФСБ России. Группировка также известна под другими названиями, включая VENOMOUS BEAR, Turla, Snake, Uroburos, Blue Python, Wraith, ATG26 и Waterbug.
- Secret Blizzard существует уже более 25 лет, пишет Bloomberg. Правительство США заявило, что группировка, считающаяся одной из самых технологически продвинутых и устойчивых в мире, входит в структуру Федеральной службы безопасности России (ФСБ). Министерство юстиции США в 2023 году объявило о ликвидации масштабной сети компьютеров, которую Secret Blizzard использовала для атак по всему миру в интересах Кремля.
- Продажа продуктов «Лаборатории Касперского» ранее была запрещена в США после того, как представители органов национальной безопасности предположили, что российское правительство имеет влияние на компанию.
Больше новостей, о которых боятся писать в России, — в наших аккаунтах в Telegram, Twitter, Facebook