Новые детали кибератаки на иностранные посольства в Москве
Хакерская группа Secret Blizzard, связанная с российскими спецслужбами, использовала систему перехвата связи для шпионажа за иностранными посольствами в Москве.
Об этом говорится в отчете Microsoft Threat Intelligence, опубликованном 31 июля 2025 года.
По данным Microsoft, группа Secret Blizzard (также известная как Turla) провела масштабную кибершпионскую кампанию, нацеленную на иностранные дипломатические представительства в Москве. Хакеры получили доступ к российским интернет-провайдерам и использовали их инфраструктуру для перехвата интернет-трафика дипломатических учреждений.
Атака была осуществлена с помощью техники Adversary-in-the-Middle, что позволяло перехватывать данные между жертвой и сервером.
Во время атак злоумышленники устанавливали на дипломатические устройства вредоносное ПО ApolloShadow, которое использовалось для атак на HTTPS (TLS/SSL stripping), что позволяло расшифровывать зашифрованную информацию, включая логины, пароли и токены.
Кроме того, ApolloShadow устанавливал доверенный корневой сертификат от "Лаборатории Касперского", который системы жертв распознавали как безопасный, позволяя хакерам создавать иллюзию безопасного соединения даже с поддельными или зараженными сайтами. Это дало группе длительный контроль над устройствами иностранных дипломатов.
Эксперты считают, что важную роль в этой кибератаке сыграла Система оперативно-розыскных мероприятий (СОРМ), которая позволяет российским правоохранительным органам перехватывать интернет-трафик в реальном времени.
Secret Blizzard была идентифицирована Агентством кибербезопасности и инфраструктуры США (CISA) как подразделение "Центра 16" ФСБ, которое занимает одно из ведущих мест среди государственных хакерских групп в мире.
