Microsoft обнаружила масштабную шпионскую кибератаку российской группы Secret Blizzard на иностранные посольства в Москве

Служба разведки угроз Microsoft сообщила об активной кибершпионской кампании российского государственного субъекта Secret Blizzard, направленной против иностранных посольств и дипломатических учреждений, расположенных в Москве. Для атак используется техника "человек посередине" (AiTM) и вредоносное программное обеспечение ApolloShadow.

По данным Microsoft, злоумышленники применяют ApolloShadow для установки доверенного корневого сертификата, что позволяет подделывать сайты и заставлять устройства дипломатов доверять им. Таким образом Secret Blizzard обеспечивает длительное присутствие на скомпрометированных устройствах с вероятной целью сбора разведывательной информации.

"Эта кампания, которая продолжается как минимум с 2024 года, представляет высокий риск для иностранных посольств, дипломатических учреждений и других чувствительных организаций, работающих в Москве, особенно для тех, кто полагается на местных интернет-провайдеров", - сказано в отчете Microsoft.

Впервые Microsoft подтвердила, что Secret Blizzard имеет техническую возможность осуществлять шпионскую деятельность на уровне интернет-провайдеров в пределах России. Компания также указывает на возможное использование внутренних систем перехвата, таких как СОРМ (Система оперативно-розыскной деятельности), как на составную часть операций.

В отчете отмечается, что Secret Blizzard связана с Федеральной службой безопасности России (ФСБ, Центр 16) и имеет пересечение с другими известными группами, которые отслеживаются под названиями VENOMOUS BEAR, Uroburos, Snake, Blue Python, Turla, Wraith, ATG26 и Waterbug.