Российская хакерская группа, известная как Secret Blizzard, имеющая связь с ФСБ, использовала систему перехвата связи для шпионажа за иностранными посольствами в Москве.

Эта информация была обнародована в отчете Microsoft Threat Intelligence, опубликованном 31 июля 2025 года.

Согласно данным Microsoft, группа Secret Blizzard (также известная как Turla) развернула серьезную кампанию кибершпионажа против иностранных дипломатических миссий в Москве. Хакеры получили доступ к инфраструктуре российских интернет-провайдеров, используя ее для перехвата интернет-трафика дипломатических учреждений.

Атаки проводились с применением методов "преступник посередине" (Adversary-in-the-Middle), что позволяло вмешиваться в коммуникацию между жертвой и сервером для сбора данных.

В ходе атак хакеры устанавливали на устройства дипломатов вредоносное ПО под названием ApolloShadow, что позволяло проводить так называемые "атаки на понижение HTTPS" (TLS/SSL stripping), открывая зашифрованный трафик и получая доступ к логинам, паролям, токенам аутентификации и другой конфиденциальной информации.

Кроме того, ApolloShadow устанавливало на устройства доверенный корневой сертификат от "Лаборатории Касперского", который системы жертв распознавали как безопасный, позволяя хакерам создавать видимость защищенного соединения даже с поддельными или зараженными сайтами. Это дало группе долгосрочный контроль над устройствами иностранных дипломатов.

Эксперты считают, что ключевую роль в этой масштабной кибератаке сыграла российская система СОРМ, которая позволяет перехватывать интернет-трафик в реальном времени.

Secret Blizzard была идентифицирована CISA как подразделение "Центра 16" ФСБ, которое занимает одно из ведущих мест среди государственных хакерских групп в мире и систематически используется Россией в кибервойнах и кампаниях влияния.