Microsoft викрила хакерів ФСБ, які атакували іноземні посольства в Москві

Про це свідчить звіт Microsoft Threat Intelligence від 31 липня 2025 року.

За даними Microsoft, угруповання Secret Blizzard (також відоме як Turla) організувало масштабну кампанію кібершпигунства за іноземними посольствами, що працюють у Москві. Хакери отримали доступ до російських інтернет-провайдерів і використали їхню інфраструктуру для перехоплення інтернет-трафіку дипломатичних установ.

Експерти встановили, що атака здійснювалася за допомогою техніки “злочинець посередині” Adversary-in-the-Middle (AiTM), яка дозволяє втручатися в комунікацію між жертвою та сервером, щоб перехоплювати дані.

Під час атак хакери встановлювали на дипломатичні пристрої шкідливе програмне забезпечення ApolloShadow яке дозволяло здійснювати так звану “атаку на зниження HTTPS” (TLS/SSL stripping), тобто робити зашифрований трафік жертв відкритим, зокрема логіни, паролі, токени автентифікації та іншу чутливу інформацію.

Крім того, ApolloShadow встановлювало на пристрої довірений кореневий сертифікат “Лабораторії Касперського”, який системи жертв розпізнавали як безпечний і дозволяли хакерам створювати видимість безпечного з’єднання навіть із фальшивими або зараженими сайтами. Таким чином угруповання отримало довготривалий контроль над пристроями іноземних дипломатів.

Експерти вважають, що ключову роль у такій широкомасштабній кібератаці відіграла Система оперативно-розшукових заходів (СОРМ) – російська державна система, яка дозволяє силовим структурам перехоплювати інтернет-трафік у реальному часі.

Secret Blizzard ідентифіковано Агентством з кібербезпеки та інфраструктури США (CISA) як підрозділ “Центру 16” ФСБ. Ця структура посідає одне з провідних місць серед державних хакерських груп світу і систематично використовується Росією у кібервійнах та кампаніях впливу.