Фахівці Microsoft Threat Intelligence виявили витончену кібератаку, спрямовану проти співробітників іноземних дипломатичних представництв у Москві. Хакерська група Secret Blizzard, також відома як Turla, Waterbug та Venomous Bear, застосовує інноваційну тактику маскування шкідливого програмного забезпечення під інсталятор антивірусу Касперського.
Атака через компрометацію провайдерів
Кампанія, виявлена у лютому 2025 року, фактично триває з 2024 року. Кіберзлочинці отримали привілейований доступ до мережевої інфраструктури невстановлених інтернет-провайдерів, що дозволяє їм здійснювати атаки типу “людина посередині” (Man-in-the-Middle).
Використовуючи контроль над мережевим трафіком, хакери перенаправляють цільових користувачів на спеціально створені шкідливі веб-ресурси. Ці сайти ретельно імітують зовнішній вигляд відомих та довірених платформ, створюючи хибне відчуття безпеки у потенційних жертв.
Шкідливе ПЗ ApolloShadow під маскою антивірусу
Центральним елементом атаки є шкідлива програма ApolloShadow, яка поширюється під виглядом легітимного інсталятора антивірусного рішення Касперського. Після перенаправлення на контрольований зловмисниками домен користувачі стикаються з імітацією помилки перевірки сертифіката.
Як “рішення” проблеми жертвам пропонується завантажити та запустити підроблений інсталятор. Після активації ApolloShadow аналізує рівень привілеїв ProcessToken у системі. Якщо пристрій не працює з правами адміністратора за замовчуванням, малвар ініціює спливаюче вікно User Account Control (UAC).
Встановлення кореневих сертифікатів
Для отримання розширених повноважень у системі ApolloShadow використовує файл CertificateDB.exe, замаскований під компонент антивірусу Касперського. Цей виконуваний файл призначений для встановлення кореневих сертифікатів, що надає зловмисникам критично важливі можливості.
Впровадження кореневого сертифіката дозволяє Secret Blizzard обманювати скомпрометовану систему, змушуючи її сприймати шкідливі веб-ресурси як повністю легітимні та безпечні. Це забезпечує довготривалий прихований доступ до пристрою жертви.
Загроза для дипломатичної спільноти
Дана кампанія становить особливу небезпеку для дипломатичного персоналу, який використовує послуги місцевих телекомунікаційних провайдерів та інтернет-сервісів. Microsoft підкреслює, що це перший документований випадок підтвердження здатності Secret Blizzard проводити шпигунські операції на рівні інтернет-провайдерів.
Атаки типу Adversary-in-the-Middle (AitM) створюють критично високий рівень ризику для дипломатичних місій, оскільки дозволяють перехоплювати конфіденційну кореспонденцію та отримувати доступ до секретної інформації державного значення.
Невизначеність у відносинах з провайдерами
Дослідники Microsoft особливо відзначили, що характер взаємовідносин між хакерською групою та інтернет-провайдерами залишається неясним. Ця невизначеність викликає додаткові питання щодо масштабів компрометації телекомунікаційної інфраструктури.
Виявлення подібних атак підкреслює критичну важливість посилення заходів кібербезпеки для дипломатичних представництв. Організаціям необхідно впроваджувати багаторівневі системи захисту, включаючи ретельну перевірку цифрових сертифікатів, моніторинг мережевого трафіку та регулярне навчання персоналу основам інформаційної безпеки. Особливу увагу слід приділити верифікації джерел програмного забезпечення та використанню VPN-з’єднань при роботі через локальних провайдерів у потенційно небезпечних регіонах.