У Microsoft розповіли, як російські хакери з групи Turla шпигували за іноземними дипломатами в москві

Дмитро Казанцев - 1 серпня, 20:22

Російська хакерська група Turla (Secret Blizzard), яка пов'язана з ФСБ, проводила масштабну кампанію зі шпигунства за посольствами в москві, маскувавши атаки під роботу фірми Kaspersky і використовувавши для стеження російських провайдерів.

Як повідомляє Bloomberg з посиланням на звіт Microsoft, хакери отримали доступ до російських провайдерів та атакували посольства, перенаправляючи інтернет-трафік жертв та розповсюджуючи шкідливе ПЗ в межах операції зі збору розвідданих.

Зазначається, що шкідливе ПЗ ApolloShadow може знімати шифрування з даних жертв та перетворювати їхню інтернет-активність, включно з історією переглядів і конфіденційними обліковими даними, на відкриту інформацію.

Ланцюг зараження Secret Blizzard AiTM; фото — звіт Microsoft

Представник Kaspersky у коментарі виданню сказав, що "довірені бренди часто використовуються як приманки без їхнього відома чи згоди". Як відомо, у 2015 році Україна ввела санкції проти компанії Kaspersky, а у США продаж її продуктів заборонили лише у 2024 році через припущення, що вплив на компанію має уряд рф.

Читайте також: "Кіберпартизани" та хакери з Silent Crow заявили про знищення ІТ-інфраструктури російського "Аерофлоту". Що відомо?

Послідовність виконання ПЗ ApolloShadow; фото — звіт Microsoft

Повідомляється, що хакерська група Turla діє вже понад 25 років, а уряд США заявляв, що вона вважається однією із найстійкіших у світі та є підрозділом ФСБ рф. Мін'юст США у 2023 році зазначав, що знищив розгалужену мережу комп'ютерів, які Turla використовувала для атак по всьому світу від імені російського уряду. Ключову роль у подібних атаках відіграє система СОРМ — держплатформа для стеження за інтернетом, що зобов’язує провайдерів передавати ФСБ технічний доступ до трафіку.

Як ми писали раніше, нещодавно за результатами міжнародної спецоперації у Києві було викрито розробника хакерської платформи, на якій зареєстровано більше 50 000 користувачів. Серед цих користувачів — відомі хакерські угруповання, зокрема REvil, LockBit, Conti, Qilin. Зазначається, що використовуючи "послуги" форуму, кіберзлочинність атакувала автоматизовані системи управління банків, держустанов та великих корпорацій у США та ЄС. Так, зловмисники використовували придбанe на форумі шкідливе ПЗ та першочергові доступи до комп’ютерних мереж міжнародних компаній для подальшого вимагання грошей, а у разі відмови — погрожували потерпілим "злити" в інтернет їхні дані та паралізувати роботу організації.

Читайте також: Хакерська атака на Microsoft торкнулася 400 організацій у світі

Північнокорейські хакери керували "фермою ноутбуків" з дому жінки в Аризоні