Microsoft Threat Intelligence сообщила о кампании кибершпионажа против иностранных посольств, расположенных в Москве. По данным компании, за атакой стояла группировка Secret Blizzard, также известная как Turla, Waterbug и Venomous Bear. Злоумышленники использовали вредоносную программу ApolloShadow и маскировали её под защитное программное обеспечение «Лаборатории Касперского».
Что произошло
Microsoft обнаружила активность Secret Blizzard в феврале 2025 года. По версии компании, целью кампании стали иностранные дипломатические организации в Москве. Атака была построена так, чтобы заражать устройства, подключающиеся к российским интернет-провайдерам.
Главный инструмент злоумышленников — вредоносная программа ApolloShadow. Она использовалась для закрепления на устройствах и сбора разведывательной информации. Microsoft описывает кампанию как кибершпионаж, а не как обычную массовую вредоносную рассылку.
Особенность атаки в том, что она была связана с техникой «злоумышленник посередине». В такой схеме атакующий оказывается между пользователем и сетевым ресурсом, вмешивается в обмен данными и может подменять или перехватывать часть трафика.
Как работала схема
По данным Microsoft, ApolloShadow мог устанавливать доверенный корневой сертификат на устройство жертвы. Это позволяло системе воспринимать вредоносные ресурсы как доверенные и открывало возможность для перехвата интернет-активности.
Особенно опасно, что таким образом можно ослабить защиту зашифрованных соединений. Если пользователь думает, что общается с легитимным сайтом или сервисом, заражённое устройство может фактически доверять подменённой инфраструктуре.
Вредоносное ПО маскировалось под программы «Лаборатории Касперского». Такой приём повышал доверие к установке, потому что антивирусное ПО воспринимается пользователями как средство защиты, а не как источник угрозы.
Почему атака на дипломатов особенно чувствительна
Дипломатические организации работают с информацией, которая может иметь политическое, экономическое и стратегическое значение. Переписка, документы, контакты, переговорные материалы и данные о перемещениях сотрудников могут быть интересны кибершпионским группам.
Если злоумышленники получают устойчивый доступ к устройствам дипломатов, они могут наблюдать за коммуникациями, похищать данные и использовать их для дальнейших операций. Поэтому подобные атаки рассматриваются как серьёзная угроза не только отдельным пользователям, но и международной безопасности.
В случае с посольствами риск усиливается тем, что сотрудники часто используют локальную интернет-инфраструктуру в стране пребывания. Это создаёт дополнительные возможности для атак на уровне сети, особенно если злоумышленники способны вмешиваться в соединение между устройством и внешними ресурсами.
Кто такая Secret Blizzard
Secret Blizzard — это название, которое Microsoft использует для отслеживания одной из известных кибершпионских группировок. В других классификациях она также известна как Turla, Waterbug и Venomous Bear.
Эту группу давно связывают с атаками на государственные структуры, дипломатические организации, оборонные объекты, исследовательские центры и другие цели, представляющие разведывательный интерес. Её операции обычно отличаются длительным наблюдением, скрытностью и ориентацией на сбор информации.
Такие группировки редко действуют по принципу быстрых массовых атак. Их цель — незаметно закрепиться, получить доступ к данным и как можно дольше оставаться внутри интересующей инфраструктуры.
Что это значит для пользователей и организаций
Для обычных пользователей эта история показывает, что доверять программам только по названию нельзя. Даже если установщик выглядит как знакомое защитное средство, важно проверять источник загрузки, цифровую подпись и официальный канал распространения.
Для организаций, особенно дипломатических и международных, важны дополнительные меры защиты: контроль сертификатов, мониторинг сетевой активности, проверка устройств после подключения к недоверенным сетям, сегментация инфраструктуры и обучение сотрудников распознавать подмену.
Также важно использовать защищённые каналы связи, регулярно обновлять устройства, контролировать установку новых сертификатов и программ, а подозрительную активность проверять не только на уровне конечного устройства, но и на уровне сети.
Заключение
Microsoft заявила, что группировка Secret Blizzard провела кампанию кибершпионажа против иностранных посольств в Москве. По данным компании, атака использовала технику «злоумышленник посередине» и вредоносную программу ApolloShadow, которая могла устанавливать доверенный корневой сертификат, ослаблять защиту соединений и помогать собирать разведывательную информацию.
Особую опасность кампании создаёт маскировка вредоносного ПО под защитные программы «Лаборатории Касперского» и ориентация на дипломатические организации. Эта история подчёркивает, что киберзащита должна учитывать не только вредоносные файлы и фишинг, но и атаки на уровне сетевого соединения, сертификатов, доверенной загрузки и инфраструктуры провайдеров.