Кібершпигунські атаки російського угруповання Secret Blizzard

Хакерська група Secret Blizzard, що має зв’язки з ФСБ Росії, скористалася державною системою перехоплення зв’язку для проведення кібершпигунських атак на іноземні дипломатичні місії у Москві.

Цю інформацію опублікував Microsoft у звіті від 31 липня 2025 року.

Згідно з даними Microsoft, угруповання Secret Blizzard (також відоме як Turla) реалізувало масштабну операцію кібершпигунства, націлившись на закордонні посольства, що функціонують у Москві. Хакери отримали доступ до інфраструктури російських провайдерів інтернету, що дозволило їм перехоплювати трафік дипломатичних установ.

Експерти виявили, що атака здійснювалася за допомогою методу "злочинець посередині" (Adversary-in-the-Middle), який дає можливість втручатися в комунікацію між жертвою та сервером для збору даних.

Під час атак хакери впроваджували на пристрої дипломатів шкідливе програмне забезпечення ApolloShadow, яке дозволяло проводити "атаку на зниження HTTPS" (TLS/SSL stripping), відкриваючи зашифрований трафік жертв, включаючи логіни, паролі та інші чутливі дані.

Крім того, ApolloShadow встановлювало на пристрої кореневий сертифікат від "Лабораторії Касперського", який вважається безпечним системами жертв, дозволяючи хакерам створювати ілюзію захищеного з’єднання навіть із підробленими або зараженими сайтами. Це дало угрупованню можливість тривалого контролю над пристроями іноземних дипломатів.

Експерти вважають, що важливу роль у цій масштабній кібератаці відіграла Система оперативно-розшукових заходів (СОРМ) – російська державна система, яка дозволяє органам влади перехоплювати інтернет-трафік у реальному часі.

Secret Blizzard було ідентифіковано Агентством з кібербезпеки та інфраструктури США (CISA) як частину "Центру 16" ФСБ, що займає провідні позиції серед державних хакерських груп у світі та активно використовується Росією в кібервійнах і кампаніях впливу.