Хакеры ФСБ атаковали зарубежные посольства в Москве

Хакерская группировка Secret Blizzard, которая, по данным правительства США, является частью ФСБ, провела масштабную кампанию кибершпионажа против иностранных посольств в России.
В феврале 2025 года служба Microsoft Threat Intelligence зафиксировала атаку Secret Blizzard на дипмиссии в Москве. Кампания началась не позднее 2024 года, говорится в отчете, опубликованном Microsoft Threat Intelligence в четверг, 31 июля.
Хакеры применили тактику «посредника посередине» (adversary-in-the-middle, AiTM) для внедрения специально разработанного вредоносного программного обеспечения под названием ApolloShadow, передаёт «Агентство».
Так, ApolloShadow обладает возможностью установки доверенного корневого сертификата, позволяющего обмануть системы и заставить их воспринимать вредоносные ресурсы как легитимные, говорится в отчете.
Это, по данным Microsoft Threat Intelligence, обеспечивает хакерам устойчивый доступ к дипломатическим устройствам, вероятно, с целью сбора разведывательной информации. Ключевую роль в реализации стратегии AiTM, вероятно, играет Система оперативно-розыскных мероприятий (СОРМ), говорится в отчете.
Secret Blizzard, предположительно, устанавливает корневые сертификаты под видом антивируса Kaspersky. Это позволяет просматривать большую часть интернет-трафика жертвы, включая передаваемые токены и учетные данные. Аналогичные методы группировка уже применяла при атаках на министерства иностранных дел в Восточной Европе.
Заявление Microsoft — первое подтверждение, что у Secret Blizzard есть технические возможности для кибершпионажа внутри России на уровне интернет-провайдеров. «Это означает, что дипломатический персонал, использующий российские телекоммуникационные услуги, с высокой вероятностью является целью Secret Blizzard», — говорится в отчете.
МИД России не ответил на запрос Bloomberg прокомментировать информацию Microsoft.
В «Лаборатории Касперского» агентству заявили, что «надежные бренды часто используются в качестве приманки без их ведома или согласия». «Мы всегда рекомендуем загружать приложения только из официальных источников и проверять подлинность любых сообщений, якобы исходящих от надежных компаний», — заявил представитель «Лаборатории Касперского».
По данным Агентства по кибербезопасности и инфраструктуре США (CISA), Secret Blizzard связан с Центром 16 ФСБ России и считается одной из самых технологически продвинутых и устойчивых в мире. Группировка также известна под другими названиями, включая VENOMOUS BEAR, Turla, Snake, Uroburos, Blue Python, Wraith, ATG26, Waterbug и существует уже более 25 лет, пишет Bloomberg.
Министерство юстиции США в 2023 году объявило о ликвидации масштабной сети компьютеров, которую Secret Blizzard использовала для атак по всему миру в интересах Кремля.
Продажа продуктов «Лаборатории Касперского» была запрещена в США после того, как представители органов национальной безопасности предположили, что российское правительство имеет влияние на компанию.
Читайте также: