Хакерская группа Secret Blizzard, имеющая связь с Федеральной службой безопасности России, использовала инновационные методы перехвата связи для ведения кибершпионажа против дипломатических представительства в Москве.

Эту информацию обнародовало в своем отчете Microsoft Threat Intelligence 31 июля 2025 года.

Согласно данным Microsoft, группа Secret Blizzard (также известная как Turla) начала массовую кампанию кибершпионажа, нацеленную на иностранные посольства в Москве. Хакеры получили доступ к местным интернет-провайдерам и использовали их инфраструктуру для перехвата сетевого трафика дипломатических учреждений.

Эксперты отметили, что атака проводилась с использованием техники "злоумышленник посередине" (AiTM), которая позволяет вмешиваться в коммуникацию между жертвой и сервером для перехвата данных.

Во время атак хакеры устанавливали на компьютеры дипломатов вредоносное ПО ApolloShadow, которое позволяло реализовать так называемую "атаку на снижение HTTPS" (TLS/SSL stripping), превращая зашифрованный трафик жертв в открытый, включая логины, пароли и другую чувствительную информацию.

Кроме того, ApolloShadow устанавливало на устройства сертификат "Лаборатории Касперского", который системы жертв считали безопасным, позволяя хакерам создать иллюзию надежного соединения даже с фальшивыми или зараженными сайтами. Таким образом, группа получила долгосрочный контроль над устройствами иностранных дипломатов.

Эксперты считают, что система оперативно-розыскных мероприятий (СОРМ) сыграла важную роль в этой кибератаке, предоставляя силовым структурам возможность перехватывать интернет-трафик в реальном времени.

Secret Blizzard была идентифицирована Агентством по кибербезопасности и инфраструктуре США (CISA) как подразделение "Центра 16" ФСБ, занимающее одно из ведущих мест среди государственных хакерских групп мира и систематически использующаяся Россией в кибервойнах.