Microsoft викрила хакерів ФСБ, які атакували іноземні посольства в Москві

Російське хакерське угруповання Secret Blizzard, яке безпосередньо пов’язане з Федеральною службою безпеки Росії, використало державну систему перехоплення зв’язку (СОРМ) для кібершпигунства проти іноземних посольств у Москві. Про це йдеться у звіті Microsoft Threat Intelligence від 31 липня 2025 року

За даними Microsoft, угруповання Secret Blizzard (також відоме як Turla) організувало масштабну кампанію кібершпигунства за іноземними посольствами, що працюють у Москві. Хакери отримали доступ до російських інтернет-провайдерів і використали їхню інфраструктуру для перехоплення інтернет-трафіку дипломатичних установ.

Експерти встановили, що атака здійснювалася за допомогою техніки “злочинець посередині” Adversary-in-the-Middle (AiTM), яка дозволяє втручатися в комунікацію між жертвою та сервером, щоб перехоплювати дані.

Під час атак хакери встановлювали на дипломатичні пристрої шкідливе програмне забезпечення ApolloShadow яке дозволяло здійснювати так звану “атаку на зниження HTTPS” (TLS/SSL stripping), тобто робити зашифрований трафік жертв відкритим, зокрема логіни, паролі, токени автентифікації та іншу чутливу інформацію.

Крім того, ApolloShadow встановлювало на пристрої довірений кореневий сертифікат “Лабораторії Касперського”, який системи жертв розпізнавали як безпечний і дозволяли хакерам створювати видимість безпечного з’єднання навіть із фальшивими або зараженими сайтами. Таким чином угруповання отримало довготривалий контроль над пристроями іноземних дипломатів.

Експерти вважають, що ключову роль у такій широкомасштабній кібератаці відіграла Система оперативно-розшукових заходів (СОРМ) – російська державна система, яка дозволяє силовим структурам перехоплювати інтернет-трафік у реальному часі.

Довідково: Secret Blizzard ідентифіковано Агентством з кібербезпеки та інфраструктури США (CISA) як підрозділ “Центру 16” ФСБ. Ця структура посідає одне з провідних місць серед державних хакерських груп світу і систематично використовується Росією у кібервійнах та кампаніях впливу.

Передісторія:

• Secret Blizzard раніше вже атакувала іноземні міністерства, зокрема країн Східної Європи, змушуючи користувачів завантажувати заражене ПЗ із підконтрольних серверів.
• У 2023 році Міністерство юстиції США повідомляло про знешкодження масштабної ботмережі Turla, що використовувалась для глобального шпигунства на користь Кремля.
• У грудні 2017 року президент США Дональд Трамп підписав закон, який забороняє використання програмного забезпечення компанії Kaspersky Lab в урядових структурах США у зв’язку з побоюваннями, що воно використовувалося Росією для шпигунства.
• У березні 2022 року Федеральна комісія зі зв’язку США (FCC) включила “Лабораторію Касперського” (Kaspersky Lab) до списку компаній, які загрожують національній безпеці США.