Предположительно связанная с Россией хакерская группировка Secret Blizzard была замечена в новой кампании кибершпионажа, нацеленной на иностранные посольства в Москве. Для атак злоумышленниками использовалось шпионское ПО ApolloShadow, распространяемое через перехват трафика на уровне интернет-провайдеров.
Об этом говорится в новом отчете Microsoft Threat Intelligence.По данным Microsoft, когда сотрудник посольства пытался подключиться к интернету, его устройство перенаправлялось на подконтрольный злоумышленникам сайт. Там появлялось всплывающее окно, которое под видом установки цифровых сертификатов "Антивируса Касперского" предлагало пользователю загрузить и запустить вредоносный файл.
Этот файл являлся вредоносной программой ApolloShadow. После запуска она запрашивала у пользователя права администратора, а затем устанавливала в систему поддельный корневой сертификат. Это позволяло группировке Secret Blizzard обманывать устройства жертв, заставляя их доверять вредоносным сайтам, и обеспечивало злоумышленникам постоянный доступ к интернет-трафику дипломатов для сбора разведданных.
Группировка Secret Blizzard (также известная как Turla, Venomous Bear и Uroburos) экспертами Microsoft связывается с российскими спецслужбами. По оценкам американской компании, текущая кампания активна как минимум с 2024 года и до сих представляет серьезный риск для дипмиссий в РФ.
Эксперты Microsoft рекомендуют дипломатическим представительствам в Москве использовать сервисы для шифрования всего трафика.
Свежие комментарии