Угроза кибершпионажа: Secret Blizzard атакует посольства в Москве

Группа хакеров, предположительно связанная с Россией, Secret Blizzard, вновь активизировалась, на этот раз направляя свои усилия на иностранные посольства в Москве. Согласно отчету Microsoft Threat Intelligence, злоумышленники используют шпионское ПО ApolloShadow, распространяемое через перехват трафика через интернет-провайдеров.

В ходе атаки сотрудники посольств оказывались в ловушке: при попытке подключения к интернету их устройства перенаправлялись на подконтрольный злоумышленникам сайт. Там, под видом установки цифрового сертификата «Антивируса Касперского», пользователям предлагалось скачать и запустить вредоносный файл – ApolloShadow.

После запуска вредоносная программа требовала прав администратора и устанавливала поддельный корневой сертификат. Это позволяло группе Secret Blizzard (также известной как Turla, Venomous Bear и Uroburos), предположительно связанной с российскими спецслужбами, обманывать устройства жертв и получать постоянный доступ к интернет-трафику дипломатов для сбора информации.

Microsoft оценивает, что данная кампания активна с 2024 года и представляет серьезную угрозу для дипмиссий в России. Компания рекомендует дипломатическим представительствам в Москве использовать сервисы для шифрования всего интернет-трафика, чтобы минимизировать риски кибершпионажа.