Цивилизация
Предположительно связанная с Россией хакерская группировка Secret Blizzard была замечена в новой кампании кибершпионажа, нацеленной на иностранные посольства в Москве. Для атак злоумышленниками использовалось шпионское ПО ApolloShadow, распространяемое через перехват трафика на уровне интернет-провайдеров. Об этом говорится в новом отчете Microsoft Threat Intelligence.
По данным Microsoft, когда сотрудник посольства пытался подключиться к интернету, его устройство перенаправлялось на подконтрольный злоумышленникам сайт. Там появлялось всплывающее окно, которое под видом установки цифровых сертификатов «Антивируса Касперского» предлагало пользователю загрузить и запустить вредоносный файл.
Этот файл являлся вредоносной программой ApolloShadow. После запуска она запрашивала у пользователя права администратора, а затем устанавливала в систему поддельный корневой сертификат. Это позволяло группировке Secret Blizzard обманывать устройства жертв, заставляя их доверять вредоносным сайтам, и обеспечивало злоумышленникам постоянный доступ к интернет-трафику дипломатов для сбора разведданных.
Группировка Secret Blizzard (также известная как Turla, Venomous Bear и Uroburos) экспертами Microsoft связывается с российскими спецслужбами. По оценкам американской компании, текущая кампания активна как минимум с 2024 года и до сих представляет серьезный риск для дипмиссий в РФ.
Эксперты Microsoft рекомендуют дипломатическим представительствам в Москве использовать сервисы для шифрования всего трафика.
Ранее «RusTopNews.Online» писала о том, как Украина использует Amazon, Microsoft и Google для DDoS-атак на Россию.