Хакерская группа под названием Secret Blizzard имеет прямые связи с Федеральной службой безопасности России и использует государственную систему перехвата связи для проведения кибершпионских атак на посольства в Москве.
Эта информация была обнародована в отчете Microsoft Threat Intelligence от 31 июля 2025 года.
Согласно данным Microsoft, группа Secret Blizzard (также известная как Turla) запустила масштабную кампанию кибершпионажа, нацеленную на иностранные дипломатические миссии, работающие в Москве. Хакеры получили доступ к российским интернет-провайдерам и использовали их инфраструктуру для перехвата интернет-трафика дипломатических учреждений.
Эксперты выяснили, что атака проводилась с использованием техники "противник посреди" Adversary-in-the-Middle (AiTM), которая позволяет вмешиваться в коммуникацию между жертвой и сервером для перехвата данных.
В ходе атак хакеры устанавливали на устройства дипломатов вредоносное ПО под названием ApolloShadow, которое позволяло им проводить так называемую "атаку на понижение HTTPS" (TLS/SSL stripping), открывая зашифрованный трафик жертв, включая логины, пароли и другую конфиденциальную информацию.
Кроме того, ApolloShadow устанавливало на устройства доверенный корневой сертификат от "Лаборатории Касперского", который системы жертв распознавали как безопасный, позволяя хакерам создавать видимость надежного соединения даже с фальшивыми или зараженными сайтами. Таким образом, группа получила длительный контроль над устройствами иностранных дипломатов.
Эксперты считают, что ключевую роль в этой масштабной кибератаке сыграла российская государственная система СОРМ, позволяющая правоохранительным органам перехватывать интернет-трафик в реальном времени.
Secret Blizzard было идентифицировано Агентством кибербезопасности и инфраструктурной безопасности США (CISA) как подразделение "Центра 16" ФСБ, которое занимает одно из ведущих мест среди государственных хакерских групп в мире и систематически используется Россией в кибервойнах и кампаниях влияния.
