Хакерська група Secret Blizzard, що має зв’язок із Федеральною службою безпеки Росії, використала інноваційні методи перехоплення зв’язку для ведення кібершпигунства проти дипломатичних представництв у Москві.

Цю інформацію оприлюднено в звіті Microsoft Threat Intelligence від 31 липня 2025 року.

Згідно з даними Microsoft, угруповання Secret Blizzard (або Turla) розпочало масовану кампанію кібершпигунства, націлену на іноземні посольства в Москві. Хакери отримали доступ до місцевих інтернет-провайдерів і використали їхню інфраструктуру для перехоплення мережевого трафіку дипломатичних установ.

Фахівці зазначили, що атака здійснювалася за допомогою техніки "злочинець посередині" (AiTM), що дозволяє втручатися в комунікацію між жертвою та сервером для перехоплення даних.

Протягом атак хакери встановлювали на комп’ютери дипломатів шкідливе програмне забезпечення ApolloShadow, яке дозволяло реалізувати так звану "атаку на зниження HTTPS" (TLS/SSL stripping), перетворюючи зашифрований трафік жертв на відкритий, включаючи логіни, паролі та іншу чутливу інформацію.

Крім того, ApolloShadow встановлювало на пристрої сертифікат "Лабораторії Касперського", який системи жертв вважали безпечним, дозволяючи хакерам створювати ілюзію надійного з’єднання навіть з фальшивими або зараженими сайтами. Таким чином, угруповання здобуло тривалий контроль над пристроями іноземних дипломатів.

Експерти вважають, що Система оперативно-розшукових заходів (СОРМ) зіграла важливу роль у цій кібератаці, надаючи силовим структурам можливість перехоплювати інтернет-трафік у реальному часі.

Secret Blizzard було ідентифіковано Агентством з кібербезпеки та інфраструктури США (CISA) як підрозділ "Центру 16" ФСБ, що займає одне з провідних місць серед державних хакерських груп світу та систематично використовується Росією у кібервійнах.