Microsoft опубликовала информацию о новых кибератаках, нацеленных на иностранные посольства в Москве. Атаки осуществляются российскими государственными хакерами с использованием зловредного программного обеспечения ApolloShadow, которое маскируется в виде приложений Kaspersky. С помощью этого программного обеспечения злоумышленники стремятся установить корневой сертификат TLS (корневой сертификат TLS), который позволит им криптографически выдавать себя за надежные веб-сайты, посещаемые зараженными системами внутри посольств.
Эта кампания, продолжающаяся по крайней мере с 2024 года, представляет значительную угрозу не только для иностранных посольств, но и для дипломатических структур и других чувствительных организаций, которые работают в Москве. Особенно опасность велика для тех, кто полагается на местные интернет-провайдеры.
Техника атак и вмешательство на интернет-уровне
Кибератаки, фигурирующие в этой кампании, используют метод Adversary-in-the-middle (AiTM), при котором хакеры перехватывают и изменяют коммуникации между сторонами для кражи учетных данных и токенов доступа. Специалисты Microsoft приписывают эти действия хакерской группе, известной как Secret Blizzard, которая, как полагают, обладает возможностями выполнять операции на уровне интернет-провайдера.
Кроме того, Microsoft отмечает, что группа, в высокопоставленный список которой входит Secret Blizzard, вероятно, использует российские системы перехвата связи, такие как Система оперативно-разыскных мероприятий (SORM). Использование таких систем может способствовать проведению крупномасштабных операций AiTM.
Эта угроза особенно важна в контексте кибербезопасности для иностранных посольств и дипломатических учреждений (посольства), активно работающих в Москве. Знание и понимание этой киберкампании может помочь усилению мер безопасности и защите конфиденциальных данных.
