Microsoft Threat Intelligence съобщи за мащабна кибершпионска операция, проведена от руската група Secret Blizzard. Тази група е известна още под имената Turla, Waterbug и Venomous Bear. По-рано Агенцията за киберсигурност и инфраструктура на САЩ установи, че Secret Blizzard е свързана с 16-ти център на ФСБ – руската Федерална служба за сигурност.

Целта на операцията са били чуждестранни посолства и техни служители, разположени в Москва. Според Microsoft, нападателите заразяват устройства, които се свързват с руски интернет доставчици, със зловредния софтуер ApolloShadow. Той се маскира като антивирус, но всъщност позволява на хакерите да имат достъп до поверителни данни.

Сред възможностите на ApolloShadow е инсталирането на фалшиви сертификати, което позволява прихващане и модифициране дори на криптиран трафик. Освен това програмата може да събира входни данни, пароли, токени за удостоверяване и друга важна информация, както и да създава акаунти с администраторски права. Това осигурява на хакерите постоянен достъп до заразеното устройство и позволява скрито наблюдение.

Работейки чрез руски доставчици на интернет услуги, групата получава пълен контрол върху онлайн активността на устройствата в дипломатическите мисии. Както отбелязва Microsoft, това дава на Secret Blizzard възможността да прихваща огромно количество класифицирана информация, включително кореспонденция и документи, свързани с международни преговори.

Тази кампания е първият известен случай, в който хакери са използвали санкциониран от държавата достъп до доставчици на интернет услуги, за да извършват атаки, подчертават специалисти от Microsoft.

Западните разузнавателни агенции многократно са обвинявали Русия в подобни действия в миналото. По-специално, през май 2023 г. ФБР прекъсна една от операциите на Secret Blizzard, а същевременно правителството на САЩ заяви, че тази хакерска група е хаквала правителствени агенции, журналисти и други лица по целия свят в продължение на почти две десетилетия.