Российская хакерская группировка Secret Blizzard использовала государственную систему перехвата связи (СОРМ) для кибершпионажа против иностранных посольств в Москве, говорится в отчете Microsoft Threat Intelligence. По данным Агентства по кибербезопасности и инфраструктуре США (CISA), Secret Blizzard связан с Центром 16 ФСБ России.
Как указано в отчете, группировка не позднее 2024 года организовала масштабную кампанию кибершпионажа за иностранными посольствами, работающими в Москве. Хакеры получили доступ к российским интернет-провайдерам и использовали их инфраструктуру для перехвата интернет-трафика дипломатических учреждений.
Хакеры использовали тактику «посредника посередине» (adversary-in-the-middle, AiTM) для внедрения специально разработанного вредоносного ПО под названием ApolloShadow, которое позволяло делать зашифрованный трафик жертв открытым, в частности логины, пароли, токены аутентификации и другую чувствительную информацию.
Кроме того, ApolloShadow устанавливало на устройства доверенный корневой сертификат «Лаборатории Касперского», который системы жертв распознавали как безопасный и позволяли хакерам создавать видимость безопасного соединения даже с фальшивыми или зараженными сайтами.Таким образом, группировка получила долговременный контроль над устройствами иностранных дипломатов.
Эксперты считают, что ключевую роль в такой широкомасштабной кибератаке сыграла Система оперативно-розыскных мероприятий (СОРМ) — российская государственная система, которая позволяет силовым структурам перехватывать интернет-трафик в реальном времени.