Специалисты Microsoft Threat Intelligence обнаружили изощренную кибератаку, направленную против сотрудников зарубежных дипломатических представительств в российской столице. Хакерская группировка Secret Blizzard, известная также под псевдонимами Turla, Waterbug и Venomous Bear, использует уникальную тактику маскировки вредоносного ПО под установщик антивируса «Лаборатории Касперского».
Механизм атаки через провайдеров
Кампания, обнаруженная в феврале 2025 года, фактически ведется с 2024 года. Злоумышленники получили привилегированный доступ к сетевой инфраструктуре неустановленных интернет-провайдеров, что позволяет им осуществлять атаки типа «человек посередине» (Man-in-the-Middle).
Используя контроль над сетевым трафиком, хакеры перенаправляют целевых пользователей на специально созданные вредоносные веб-ресурсы. Эти сайты тщательно имитируют внешний вид известных и доверенных платформ, создавая ложное чувство безопасности у потенциальных жертв.
Вредоносное ПО ApolloShadow под маской антивируса
Центральным элементом атаки является вредоносная программа ApolloShadow, которая распространяется под видом легитимного установщика антивирусного решения Касперского. После перенаправления на контролируемый злоумышленниками домен пользователи сталкиваются с имитацией ошибки проверки сертификата.
В качестве «решения» проблемы жертвам предлагается загрузить и запустить поддельный установщик. После активации ApolloShadow анализирует уровень привилегий ProcessToken в системе. Если устройство не работает с правами администратора по умолчанию, малварь инициирует всплывающее окно User Account Control (UAC).
Установка корневых сертификатов
Для получения расширенных полномочий в системе ApolloShadow использует файл CertificateDB.exe, замаскированный под компонент антивируса Касперского. Этот исполняемый файл предназначен для установки корневых сертификатов, что предоставляет злоумышленникам критически важные возможности.
Внедрение корневого сертификата позволяет Secret Blizzard обманывать скомпрометированную систему, заставляя ее воспринимать вредоносные веб-ресурсы как полностью легитимные и безопасные. Это обеспечивает долгосрочный скрытый доступ к устройству жертвы.
Угроза для дипломатического сообщества
Данная кампания представляет особую опасность для дипломатического персонала, использующего услуги местных телекоммуникационных провайдеров и интернет-сервисов. Microsoft подчеркивает, что это первый документированный случай подтверждения способности Secret Blizzard проводить шпионские операции на уровне интернет-провайдеров.
Атаки типа Adversary-in-the-Middle (AitM) создают критически высокий уровень риска для дипломатических миссий, поскольку позволяют перехватывать конфиденциальную корреспонденцию и получать доступ к секретной информации государственного значения.
Неопределенность в отношениях с провайдерами
Исследователи Microsoft особо отметили, что характер взаимоотношений между хакерской группировкой и интернет-провайдерами остается неясным. Эта неопределенность вызывает дополнительные вопросы о масштабах компрометации телекоммуникационной инфраструктуры.
Обнаружение подобных атак подчеркивает критическую важность усиления мер кибербезопасности для дипломатических представительств. Организациям необходимо внедрять многоуровневые системы защиты, включающие тщательную проверку цифровых сертификатов, мониторинг сетевого трафика и регулярное обучение персонала основам информационной безопасности.
