Російські інтернет-провайдери заражали пристрої працівників іноземних посольств програмою ApolloShadow, щоб отримати доступ до конфіденційних та шифрованих даних.
Деталі кібератаки розкриває Microsoft Threat Intelligence, яка повідомила про масштабну шпигунську кібероперацію.
Російська хакерська група Secret Blizzard заражала шпигунською програмою ApolloShadow пристрої працівників дипломатичних установ, які підключались до мереж російських інтернет-провайдерів.
За інформацією Microsoft, шпигунська кампанія російської спецслужби тривала з 2024 року та була націлена на іноземні посольства, дипломатичні установи та інші чутливі організації, розташовані у Москві.
ApolloShadow маскується під антивірусне програмне забезпечення та підробляє кореневі сертифікати файлів, що дозволяє перехоплювати та змінювати таким чином навіть зашифрований трафік даних.
Крім того, програма може збирати логіни, паролі, токени автентифікації та іншу важливу інформацію, а також створювати облікові записи з правами адміністратора. Це забезпечує хакерам постійний доступ до зараженого пристрою та дозволяє вести приховане стеження.
Таким чином Secret Blizzard отримує повний контроль за онлайн-активністю пристроїв та можливість перехоплювати величезний обсяг секретної інформації, включаючи листування та документи щодо міжнародних переговорів.
Кібероперація російської ФСБ
У Microsoft зазначили, що для кібератак група використала вбудовану в російську інфраструктуру «Систему оперативно-розшукових заходів» (СОРМ). Вона дає російським спецслужбам можливість стежити за телефонними дзвінками, переписками та іншим обміном даними.
Раніше Агентство з кібербезпеки та безпеки інфраструктури США офіційно визнало групу Secret Blizzard підрозділом 16-го центру ФСБ, що відповідальний за радіоелектронну розвідку та операціях в інтернеті, зокрема, перехоплення та розшифровку даних.
Найбільше Secret Blizzard цікавлять міністерства закордонних справ, посольства, урядові установи, оборонні відомства та компанії, пов’язані з обороною в різних країнах світу.
Їхня головна мета — отримати довготривалий доступ до чужих комп’ютерних систем, щоб таємно збирати розвіддані. Для цього вони використовують багато різних шкідливих програм, включно з тими, що можуть взаємодіяти між собою без центрального сервера або керуються на відстані через спеціальні канали.
Під час атак вони крадуть документи, PDF-файли, вміст електронної пошти — усе, що може мати політичну або розвідувальну цінність. Особливо їх цікавлять документи та дані, які можуть впливати на міжнародну політику.
