Хакеры ФСБ атаковали зарубежные посольства в Москве

Хакерская группировка Secret Blizzard, которая, по данным правительства США, является частью ФСБ, провела масштабную кампанию кибершпионажа против иностранных посольств в России.

В феврале 2025 года служба Microsoft Threat Intelligence зафиксировала атаку Secret Blizzard на дипмиссии в Москве. Кампания началась не позднее 2024 года, говорится в отчете, опубликованном Microsoft Threat Intelligence в четверг, 31 июля.

Хакеры применили тактику «посредника посередине» (adversary-in-the-middle, AiTM) для внедрения специально разработанного вредоносного программного обеспечения под названием ApolloShadow, передаёт «Агентство».

Так, ApolloShadow обладает возможностью установки доверенного корневого сертификата, позволяющего обмануть системы и заставить их воспринимать вредоносные ресурсы как легитимные, говорится в отчете.

Это, по данным Microsoft Threat Intelligence, обеспечивает хакерам устойчивый доступ к дипломатическим устройствам, вероятно, с целью сбора разведывательной информации. Ключевую роль в реализации стратегии AiTM, вероятно, играет Система оперативно-розыскных мероприятий (СОРМ), говорится в отчете.

Secret Blizzard, предположительно, устанавливает корневые сертификаты под видом антивируса Kaspersky. Это позволяет просматривать большую часть интернет-трафика жертвы, включая передаваемые токены и учетные данные. Аналогичные методы группировка уже применяла при атаках на министерства иностранных дел в Восточной Европе.

Заявление Microsoft — первое подтверждение, что у Secret Blizzard есть технические возможности для кибершпионажа внутри России на уровне интернет-провайдеров. «Это означает, что дипломатический персонал, использующий российские телекоммуникационные услуги, с высокой вероятностью является целью Secret Blizzard», — говорится в отчете.

МИД России не ответил на запрос Bloomberg прокомментировать информацию Microsoft.

В «Лаборатории Касперского» агентству заявили, что «надежные бренды часто используются в качестве приманки без их ведома или согласия». «Мы всегда рекомендуем загружать приложения только из официальных источников и проверять подлинность любых сообщений, якобы исходящих от надежных компаний», — заявил представитель «Лаборатории Касперского».

По данным Агентства по кибербезопасности и инфраструктуре США (CISA), Secret Blizzard связан с Центром 16 ФСБ России и считается одной из самых технологически продвинутых и устойчивых в мире. Группировка также известна под другими названиями, включая VENOMOUS BEAR, Turla, Snake, Uroburos, Blue Python, Wraith, ATG26, Waterbug и существует уже более 25 лет, пишет Bloomberg.

Министерство юстиции США в 2023 году объявило о ликвидации масштабной сети компьютеров, которую Secret Blizzard использовала для атак по всему миру в интересах Кремля.

Продажа продуктов «Лаборатории Касперского» была запрещена в США после того, как представители органов национальной безопасности предположили, что российское правительство имеет влияние на компанию.

Читайте также:

• День траура в Киеве: десятки мирных жителей погибли в результате атаки России
• В Молдове заблокировали банковские счета приближённых Шора — Фуртунэ и Лунгу
• В Молдове мужчину приговорили к 5 годам за ввоз чемодана наличных