Служба Microsoft Threat Intelligence сообщила о масштабной кибершпионской операции, которую ведет российская группа Secret Blizzard. Эта группировка также известна под названиями Turla, Waterbug и Venomous Bear. Ранее Агентство по кибербезопасности и инфраструктуре США установило, что Secret Blizzard связана с 16-м центром ФСБ.
Целью операции стали иностранные посольства и их сотрудники, находящиеся в Москве. По данным Microsoft, злоумышленники заражают устройства, которые подключаются к российским интернет-провайдерам, вредоносной программой ApolloShadow. Она маскируется под антивирус, но на самом деле позволяет хакерам получать доступ к конфиденциальным данным.
Среди возможностей ApolloShadow — установка поддельных корневых сертификатов, что позволяет перехватывать и изменять даже зашифрованный трафик. Кроме того, программа может собирать логины, пароли, токены аутентификации и другую важную информацию, а также создавать учетные записи с правами администратора. Это обеспечивает хакерам постоянный доступ к зараженному устройству и позволяет вести скрытую слежку.
Работая через российских интернет-провайдеров, группа получает полный контроль над онлайн-активностью устройств внутри дипломатических представительств. Как отмечает Microsoft, это дает Secret Blizzard возможность перехватывать огромный объем секретной информации, включая переписку и документы, касающиеся международных переговоров. Данная кампания стала первым известным случаем, когда хакеры использовали санкционированный государством доступ к интернет-провайдерам для проведения атак, подчеркивают специалисты Microsoft.
Западные спецслужбы ранее неоднократно обвиняли Россию в аналогичных действиях. В частности, в мае 2023 года ФБР сорвало одну из операций Secret Blizzard и тогда же правительство США заявило, что эта хакерская группа взламывала государственные учреждения, журналистов и других лиц по всему миру на протяжении почти двух десятилетий.
