Кибершпионские атаки российской группы Secret Blizzard

Хакерская группа Secret Blizzard, имеющая связь с ФСБ России, использовала государственную систему перехвата связи для проведения кибершпионских атак на иностранные дипломатические миссии в Москве.

Эту информацию опубликовал Microsoft в отчете от 31 июля 2025 года.

Согласно данным Microsoft, группа Secret Blizzard (также известная как Turla) реализовала масштабную операцию кибершпионажа, нацеливаясь на зарубежные посольства, работающие в Москве. Хакеры получили доступ к инфраструктуре российских интернет-провайдеров, что позволило им перехватывать трафик дипломатических учреждений.

Эксперты выявили, что атака была осуществлена с использованием метода "преступник посередине" (Adversary-in-the-Middle), который позволяет вмешиваться в коммуникацию между жертвой и сервером для сбора данных.

Во время атак хакеры устанавливали на устройства дипломатов вредоносное ПО ApolloShadow, которое позволяло проводить "атаку на понижение HTTPS" (TLS/SSL stripping), открывая зашифрованный трафик жертв, включая логины, пароли и другую конфиденциальную информацию.

Кроме того, ApolloShadow устанавливало на устройства корневой сертификат от "Лаборатории Касперского", который системы жертв распознавали как безопасный, позволяя хакерам создавать иллюзию защищенного соединения даже с поддельными или скомпрометированными сайтами. Это дало группе долгосрочный контроль над устройствами иностранных дипломатов.

Эксперты считают, что ключевую роль в этой масштабной кибератаке сыграла Система оперативно-розыскных мероприятий (СОРМ) – российская государственная система, которая позволяет правоохранительным органам перехватывать интернет-трафик в реальном времени.

Secret Blizzard была идентифицирована Агентством по кибербезопасности и инфраструктуре США (CISA) как часть "Центра 16" ФСБ, который занимает ведущие позиции среди государственных хакерских групп в мире и активно используется Россией в кибервойнах и кампаниях влияния.