В июле 2025 года Microsoft обнародовала предупреждение о масштабной кампании кибершпионажа, осуществляемой российскими государственными хакерами против иностранных посольств в Москве. Группа, известная под кодовым названием Secret Blizzard, использует продвинутые технологии атаки на уровне интернет-провайдеров, чтобы тайно внедрять вредоносное ПО и собирает данные из систем дипломатических миссий. Эта кампания, впервые выявленная в прошлом году, стала ярким примером использования технических возможностей государственных структур для слежки за иностранными представителями и подрыва международной взаимной безопасности. Secret Blizzard несколько десятилетий активно действует на киберфронте, являясь одним из самых опытных и сложных хакерских подразделений России. Согласно информации от Microsoft и американского агентства CISA (Cybersecurity and Infrastructure Security Agency), эта группа принадлежит Федеральной службе безопасности Российской Федерации (ФСБ) и известна под несколькими другими именами, включая Turla, Venomous Bear и Uroburos.
Их цель – сбор разведданных посредством внедрения вредоносных программ, позволяющих вмешиваться в коммуникации и контролировать трафик. Целью нынешней кампании является установка на устройства сотрудников посольств вредоносного ПО под названием ApolloShadow. Этот троян создает TLS root сертификат, который позволяет подделывать цифровые удостоверения доверенных веб-сайтов. В результате зараженное устройство начинает доверять атакам, выглядящим как законные ресурсы, что открывает хакерам беспрепятственный доступ к корпоративным сетям и конфиденциальной информации. Ключевым элементом атаки стала реализация схемы типа adversary-in-the-middle (AitM), которая предполагает перехват и подмену интернет-трафика на уровне локальных интернет-провайдеров.
Российские ISPs, согласно законодательству страны, обязаны сотрудничать с государственными спецслужбами, что дает Secret Blizzard возможность манипулировать сетевыми каналами дипломатических представительств и вставлять вредоносные ссылки в их интернет-сессии. Механизм атаки начинается с того, что пользователям в посольствах предлагается пройти через так называемые captive portal – страницы формального авторизационного интерфейса, часто используемого в гостиницах или аэропортах. Однако в данном контексте такие страницы служат прикрытием для перенаправления пользователя на вредоносный домен. При попытке установить сетевое соединение под видом стандартной проверки Windows Test Connectivity система переадресовывается с легитимного адреса на контролируемый злоумышленниками ресурс, который имитирует ошибку проверки сертификатов и побуждает пользователя загрузить ApolloShadow. После запуска вредоносного кода программа проверяет уровень привилегий операционной системы и, если необходимо, инициирует поддельное сообщение User Access Control, маскируясь под установщик антивирусного ПО Kaspersky.
Этот трюк направлен на получение расширенного доступа для установки собственного TLS сертификата, который предоставляет злоумышленникам возможности для криптографической имитации доверенных сайтов. После получения административных прав ApolloShadow вносит изменения в настройки сети, делая устройство видимым и ослабляя правила брандмауэра. Это облегчает последующее перемещение злоумышленников внутри локальной сети и повышает риск внутреннего компрометации. Несмотря на отсутствие непосредственных признаков «бокового» перемещения, специалисты Microsoft подчеркивают угрозу такой возможности в ближайшем будущем. Данная кампания поднимает серьезные вопросы о безопасности дипломатических миссий и степени контроля госструктур России над телекоммуникационной инфраструктурой.
Она демонстрирует, как государственные хакеры используют возможности своих обязанностей провайдеров связи для атак «среднего уровня» с целью кражи секретной информации без необходимости взлома конечных устройств напрямую. Microsoft рекомендует всем организациям, находящимся в России, особенно дипломатическим и прочим чувствительным структурам, использовать зашифрованные VPN-туннели, подключающие интернет к серверам за пределами контролируемой зоны доверия. Это позволит снизить риски вмешательства ISP и минимизировать возможность проведения подобных атак. Кроме того, эксперты советуют постоянно следить за появлением необычных сертификатов в системах, следить за предупреждениями безопасности браузеров и использовать специализированное антивирусное ПО, способное обнаруживать сложные вредоносные скрипты, такие как ApolloShadow. Также важна регулярная подготовка персонала, поскольку многие атаки начинаются с социальной инженерии и обмана конечных пользователей.
