Російська хакерська група *Secret Blizzard*, афілійована з ФСБ, веде масштабну шпигунську кампанію проти посольств у Москві. Вони використовують техніку AiTM (adversary-in-the-middle), впроваджуючи шкідливе ПЗ *ApolloShadow* через локальних інтернет-провайдерів. Вперше офіційно підтверджено, що атаки проводяться на рівні ISP, а не лише на окремі пристрої. Навіть підключення до інтернету в готелі може стати точкою зараження.
Microsoft виявила, що атака реалізується через *захоплення з’єднання* між пристроєм жертви та інтернетом. Після цього користувач бачить каптивний портал, схожий на ті, що з’являються в аеропортах чи готелях. Потім пристрій автоматично звертається до URL, наприклад, msftconnecttest.com, і замість очікуваної сторінки, користувача перенаправляють на фальшивий сайт, звідки він, нічого не підозрюючи, завантажує троян ApolloShadow.
ApolloShadow перевіряє рівень прав користувача і, за потреби, викликає системне вікно UAC, переконуючи встановити *”оновлення Kaspersky”*. Насправді ж це — інструмент для встановлення довірених кореневих сертифікатів, які дозволяють атакувальнику зчитувати зашифрований трафік.
*Secret Blizzard* — це група, яка також відома під назвами Turla, Snake, Venomous Bear та іншими. Microsoft вперше офіційно підтверджує, що атаки здійснюються на рівні телекомунікаційної інфраструктури, а не просто через фішинг чи локальне зараження. Раніше вони вже застосовували подібні методи у Східній Європі, зокрема через троянізовані інсталятори Flash Player.
У випадку з ApolloShadow, після зараження пристрій:
змінює всі мережі на статус *Private*,
послаблює правила фаєрволу,
додає адміністративного користувача з іменем *UpdatusUser*,
і навіть вносить сертифікати у Firefox, обминаючи обмеження браузера.
Secret Blizzard тепер не просто шпигує через листи або заражені файли — вони контролюють саму інфраструктуру, якою користуються дипломати в Росії. Будь-яке з’єднання з локальним провайдером — це потенційна точка доступу для атаки.
Microsoft радить:
Завжди використовувати VPN через перевірену інфраструктуру, бажано не російську;
Уникати локальних Wi-Fi, особливо в готелях, кафетеріях і навіть посольствах;
Системно обмежувати привілеї користувачів, вмикати MFA, не використовувати адміністраторські акаунти без потреби;
Увімкнути захист у Microsoft Defender, правила скорочення поверхні атаки та моніторинг через Sentinel чи Security Copilot.
