ФСБ под маской антивируса? Microsoft раскрыла схему кибершпионажа в Москве
На фоне растущих киберугроз специалисты Microsoft Threat Intelligence успешно пресекли масштабную кампанию кибершпионажа, организованную группой хакеров под названием Secret Blizzard. Она, как утверждается, аффилирована с Федеральной службой безопасности (ФСБ) России.
Эта операция была направлена против иностранных посольств в Москве и представляла серьезную угрозу для дипломатических миссий и других чувствительных организаций. Не уточняется, о каких дипмиссиях идет речь. Хакеры использовали передовую технику Adversary-in-the-Middle (AiTM), позволяющую им внедрять кастомное вредоносное программное обеспечение (ПО) ApolloShadow через местные интернет-провайдеры.
Данная кампания, начатая как минимум в 2024 году, демонстрировала высокий уровень технической подготовки и создавала значительные риски для безопасности данных, что подчеркивает необходимость усиления мер киберзащиты в условиях геополической напряженности.
Особое внимание привлекло подтверждение того, что Secret Blizzard обладает возможностями действовать на уровне интернет-провайдеров, что стало первым зафиксированным случаем такого рода для этой группы. Это позволило хакерам манипулировать сетевым трафиком и устанавливать поддельные корневые сертификаты, выдавая их за легитимные обновления от известного антивирусного ПО Kaspersky. Такой подход обеспечивал длительное присутствие злоумышленников в системах жертв, включая дипломатические устройства, и открывал доступ к конфиденциальной информации, вероятно, для целей разведки.
Эксперты предполагают, что для реализации этой атаки хакеры могли использовать российскую систему оперативно-розыскных мероприятий (СОРМ), которая интегрирована в инфраструктуру телекоммуникационных компаний и предоставляет властям возможность перехвата данных. Масштаб операций указывает на то, что данная система могла играть ключевую роль в поддержке AiTM-активности.
Пресечение деятельности Secret Blizzard стало возможным благодаря непрерывному мониторингу и глубокому анализу угроз, проводимому Microsoft. Компания не только выявила методы атаки, но и предоставила исчерпывающие рекомендации по защите. Среди них — маршрутизация всего сетевого трафика через зашифрованные туннели или использование альтернативных провайдеров, таких как спутниковые соединения, инфраструктура которых не контролируется внешними сторонами.
Также подчеркивается важность строгого соблюдения принципа минимальных привилегий, внедрения многофакторной аутентификации (MFA) и регулярного аудита привилегированных учетных записей. Эти меры направлены на снижение уязвимостей и предотвращение распространения атак в корпоративных сетях.
Secret Blizzard, также известная под названиями Turla, Snake, Venomous Bear, Uroburos и др., приписана Агентством по кибербезопасности и инфраструктуре (CISA) Центру 16 ФСБ. Ее действия подтверждают высокий уровень профессионализма и государственной поддержки, что делает эту угрозу особенно опасной.
Microsoft продолжает отслеживать подобные группы, включая те, о которых ранее сообщали другие компании, чтобы повысить осведомленность организаций и помочь им укрепить свои системы защиты.
