VELIKA ruska državna hakerska skupina, koju Microsoft Threat Intelligence prati pod nazivom "Secret Blizzard", potvrđeno cilja strane ambasade u Moskvi koristeći sofisticirane metode kibernetičke špijunaže.

Prema izvješću Microsofta, Secret Blizzard koristi tehniku "napadača u sredini" (adversary-in-the-middle) kako bi u ciljana računala ubacio vlastiti zlonamjerni softver nazvan ApolloShadow. Ova kampanja, koja traje najmanje od 2024., predstavlja visok rizik za diplomatske misije i druge osjetljive organizacije koje djeluju u ruskoj prijestolnici, posebno ako koriste lokalne internetske providere.

"Secret Blizzard ima mogućnost djelovanja na razini internetskog providera, što znači da može presretati i manipulirati mrežnim prometom unutar Rusije", navodi Microsoft u svojoj procjeni.

Malver koji mijenja sigurnosne postavke uređaja

Zlonamjerni softver ApolloShadow omogućuje instalaciju lažnog root certifikata na zaraženim uređajima, čime ti uređaji počinju vjerovati kompromitiranim web-stranicama pod kontrolom napadača. Time se omogućuje dugotrajan pristup diplomatskim računalima i sustavima – s ciljem prikupljanja osjetljivih informacija. Microsoft je u veljači 2025. dokumentirao korištenje te tehnike protiv stranih ambasada u Moskvi.

Povezanost s ruskom sigurnosnom službom

Secret Blizzard identificiran je od strane američke Agencije za kibernetičku sigurnost i infrastrukturu (CISA) kao entitet povezan s ruskom Saveznom sigurnosnom službom (FSB), točnije s njezinim Centrom 16. U kibernetičkoj zajednici skupina je poznata i pod nazivima VENOMOUS BEAR, Uroburos, Snake, Blue Python, Turla, Wraith, ATG26 i Waterbug.

Microsoft pretpostavlja da skupina koristi ruski sustav za presretanje komunikacija (SORM – Sustav za operativne istražne aktivnosti) kako bi realizirala napade ovog razmjera.

Preporuke za zaštitu

Iako je primarni fokus napada unutar ruskih granica, Microsoft preporučuje diplomatskim i osjetljivim organizacijama korištenje kriptiranih tunela (VPN) ili satelitskih internetskih veza koje nisu pod ruskom infrastrukturom kako bi se smanjio rizik. Te su preporuke, kako se navodi, primjenjive i u širem kontekstu obrane od sličnih kibernetičkih prijetnji.