В последние годы кибербезопасность становится одним из ключевых аспектов национальной и международной безопасности. Страны и организации все чаще становятся мишенями сложных и целенаправленных кибератак, цель которых — шпионаж, похищение информации и подрыв инфраструктуры. Особое беспокойство вызывает деятельность известной хак-группы Secret Blizzard, также известной под названиями Turla, Waterbug и Venomous Bear. В начале 2025 года компания Microsoft обнародовала отчет, где раскрывает подробности масштабной кампании этой группы, нацеленной на сотрудников иностранных дипмиссий в Москве. Уникальность операции в том, что злоумышленники маскируют свою вредоносную программу ApolloShadow под официальные продукты «Лаборатории Касперского», тем самым обманывая пользователей и обходя систему защиты.
Хакеры используют сложные тактики, включая позицию посредника в сетях интернет-провайдеров (Man-in-the-Middle, MitM), чтобы направлять жертв на вредоносные сайты, внешне неотличимые от легитимных ресурсов. Такая схема позволяет им обойти защитные механизмы и предложить загрузку и запуск зараженного файла, замаскированного под установщик антивируса, с целью длительного доступа к устройствам пользователей. Операции Secret Blizzard в частности направлены против дипломатического персонала, что подчеркивает политическую и разведывательную мотивацию этих атак. Microsoft Threat Intelligence уточняет, что кампания активна с 2024 года, однако подробности стали известны именно в феврале 2025. Использование MitM-атак через доступ в сети интернет-провайдеров позволяет хакерам влиять на трафик, перенаправляя пользователей на поддельные домены.
Важно отметить, что эти домены вызывают у пользователей предупреждения о проблемах с сертификатами безопасности, что сопровождается предложением установить особый файл — CertificateDB.exe. Этот исполняемый файл маскируется как установщик «Лаборатории Касперского» и служит установке корневых сертификатов для получения расширенных привилегий на работе системы. Именно через установку таких сертификатов вредоносное ПО получает возможность обходить проверки безопасности и маскировать свои дальнейшие действия, создавая для пользователя иллюзию легитимности. Программа ApolloShadow после запуска проверяет уровень прав пользователя на устройстве.
Если права не администраторские, программа инициирует всплывающее окно контроля учетных записей Windows (UAC), убеждающее пользователя одобрить установку сертификатов. Такая социальная инженерия позволяет хакерам повысить уровень доступа для закрепления контроля над системой и организации долговременного шпионажа. Установка корневого сертификата — один из самых опасных этапов, так как он позволяет злоумышленникам создавать и подписывать поддельные сертификаты для любых сайтов, что делает возможно обман системы и скрытую перехват коммуникаций. Таким образом, Secret Blizzard получает полный контроль над сетевым трафиком жертвы, может отслеживать, читать и менять данные, что создает серьезную угрозу безопасности не только для отдельных пользователей, но и для дипломатических миссий, которые традиционно имеют высокий уровень защиты. Microsoft в своем отчете подчеркивает, что это первый случай подтвержденного шпионажа этой группы с использованием интернет-провайдеров в качестве точки атаки, которая представляет максимальный риск для пользователей локальных телекоммуникационных услуг.
При этом взаимоотношения хакеров с провайдерами остаются неясными и могут предполагать как сговора, так и эксплуатацию уязвимостей без ведома операторов связи. Подобная тактика демонстрирует тенденцию усложнения и кастомизации кибератак, используемых мощными хакерскими группами. Маскировка вредоносного ПО под популярные и широко доверяемые антивирусные решения — эффектный и опасный инструмент обмана пользователей. Антивирусные программы традиционно воспринимаются как гарант безопасности, поэтому решение установить файл, якобы связанный с защитным ПО, становится менее подозрительным даже для опытных пользователей. В то же время установка корневого сертификата дает возможность злоумышленникам на уровне инфраструктуры оставаться незаметными и долгое время оставаться внутри сетевого окружения жертвы.
Для предотвращения таких угроз пользователям и организациям стоит придерживаться ряда рекомендаций. Прежде всего, крайне важна внимательность к возникновению предупреждений о сертификатах и подлинности сайтов, особенно во время загрузки программного обеспечения. Никогда не рекомендуется устанавливать программы после получения неожиданных или сомнительных запросов, даже если они выглядят как официальные антивирусные продукты. Использование комплексных решений безопасности с мониторингом сетевого трафика и возможности выявления аномалий может помочь обнаружить подобные MitM-атаки. Организациям стоит уделить особое внимание сегментации сетей, контролю доступа и регулярному обучению сотрудников мерам информационной безопасности и распознаванию признаков социальной инженерии.
Также имеет смысл сотрудничать с проверенными профессионалами в области кибербезопасности и следить за обновлениями от производителей антивирусного ПО. Важно регулярно обновлять операционные системы и приложения, так как патчи закрывают возможные уязвимости, которыми могут воспользоваться злоумышленники. Особенное внимание следует уделять дипломатическим и государственным организациям, для которых атаки подобного рода могут иметь далеко идущие последствия. В заключение, кибератаки Secret Blizzard, использующие маскировку вредоносного ПО под продукты «Лаборатории Касперского», демонстрируют новый уровень совершенства и изощренности в области кибершпионажа. Подобные операции позволяют злоумышленникам оставаться незамеченными длительное время, собирая информацию и влияя на работу систем жертв.
Важно осознавать масштабы подобных угроз и активно работать над укреплением киберзащиты на всех уровнях. Только комплексный подход, совмещающий технологические меры, образовательные программы и международное сотрудничество, способен обеспечить надежную защиту от современных вызовов цифровой эпохи.
