VELIKA ruska državna skupina za kibernetičku špijunažu, koju Microsoft Threat Intelligence prati pod nazivom "Secret Blizzard", potvrđeno cilja strane ambasade u Moskvi, prenosi Kyiv Independent

Po izvješću Microsofta, skupina koristi sofisticiranu tehniku "posrednika u sredini" (adversary-in-the-middle) kako bi isporučila svoj prilagođeni zlonamjerni softver "ApolloShadow" za prikupljanje obavještajnih podataka.

Ova kampanja, koja po podacima Microsofta traje najmanje od 2024., smatra se visokorizičnom za diplomatske entitete i druge osjetljive organizacije koje djeluju u ruskoj prijestolnici, osobito one koje se oslanjaju na lokalne internetske operatere.

Sposobnost djelovanja na razini internetskih davatelja usluga

Procjena Microsofta potvrđuje da Secret Blizzard ima sposobnost djelovanja na razini internetskih davatelja usluga (ISP), što sugerira da su diplomatsko osoblje koje koristi lokalne ruske ISP-ove ili telekomunikacijske usluge vrlo vjerojatne mete.

Prethodno je Microsoft s niskim stupnjem sigurnosti procijenio da je Secret Blizzard provodio kibernetičku špijunažu unutar ruskih granica. Nova potvrda o mogućnosti djelovanja na ISP razini znači da se skupina može pozicionirati izravno između mreža radi provođenja zlonamjernih aktivnosti.

Microsoft navodi da tome vjerojatno pomažu ruski domaći sustavi prisluškivanja, poput Sustava za operativne istražne aktivnosti (SORM), s obzirom na opseg ovakvih operacija.

Instaliranje pouzdanog korijenskog certifikata na ciljane uređaje

Zlonamjerni softver ApolloShadow omogućuje Secret Blizzardu instaliranje pouzdanog korijenskog certifikata na ciljane uređaje. Taj certifikat može prevariti uređaje da vjeruju zlonamjernim web-stranicama koje kontrolira napadač, čime skupina održava trajni pristup diplomatskim uređajima, najvjerojatnije radi prikupljanja obavještajnih informacija.

U veljači 2025. Microsoft je promatrao korištenje ove tehnike upravo protiv stranih ambasada u Moskvi.

Američka agencija za kibernetičku sigurnost i infrastrukturu (CISA) identificiarala je Secret Blizzard kao dio ruskog Federalnog sigurnosnog servisa (Centar 16). Skupina je poznata pod različitim imenima u kibernetičkoj zajednici, uključujući VENOMOUS BEAR, Uroburos, Snake, Blue Python, Turla, Wraith, ATG26 i Waterbug.

Iako kibernetička špijunaža prvenstveno cilja entitete unutar Rusije, preporučene mjere zaštite - uključujući usmjeravanje cjelokupnog prometa kroz šifrirane tunele ili korištenje alternativnih, satelitskih davatelja interneta koji nisu pod ruskom infrastrukturom - široko su primjenjive za umanjenje sličnih prijetnji diljem svijeta, prema izvješću Microsofta.