Компания Microsoft сообщает, что иностранные дипломаты, пользующиеся услугами московских интернет-провайдеров, подвергают риску защиту своих даных. По данным компании, Россия через провайдеров внедряет на компьютеры приложение ApolloShadow, которое, маскируясь под программное обеспечение «Лаборатории Касперского», обманом заставляет устройства устанавливать корневые сертификаты браузера. Это позволяет кибершпионам обходить шифрование TLS и отслеживать веб-активность, включая отдельные идентификационные токены и учетные данные.
Кампания продолжается как минимум с 2024 года и создает высокий риск для иностранных посольств, дипломатических учреждений и иных чувствительных организаций в Москве, особенно тех, что полагаются на местных интернет-провайдеров. Это — первое публичное подтверждение широких подозрений об использовании инфраструктуры ISP для кибершпионажа. По оценке западных разведслужб, кластер Secret Blizzard связан с Центром-16 ФСБ (также отслеживается как ATG26, Blue Python, Krypton, Snake/Turla, Uroburos, Venomous Bear, Waterbug, Wraith). Технически атака сводится к навязыванию под видом Kaspersky установщика с повышенными привилегиями и поддельного корневого сертификата («Kaspersky AV»; файл CertificateDB.exe) через перенаправление на captive-портал, инициированное штатным индикатором состояния сетевого подключения Windows (NCSI). Это дает возможность выполнять SSL-stripping (понижение до HTTP) и перехватывать трафик и учетные данные.
В более широком контексте слабость публичной системы сертификатов обусловлена зависимостью от цепочки доверия, завершающейся у поставщика корневого сертификата: компрометация корневых ключей или их навязывание открывают путь к перехвату, несмотря на наличие сквозного шифрования. Microsoft рекомендует избегать незащищенного использования российских сетей и маршрутизировать трафик через зашифрованный туннель в доверенную сеть либо через VPN-провайдера (включая спутникового), чья инфраструктура не контролируется российскими структурами. Исторически Центр-16 связывают с ранними эпизодами кибершпионажа («Moonlit Maze») и червем Agent.btz (2008); схожие методы маскирования под легитимные бренды фиксировала ESET в 2016–2018 годах в отношении консульств и посольств в Восточной Европе.
Ранее мы рассказывали о том, как Центр-16 допустил утечку данных о своей внутренней структуре.
Только главные новости в нашем Telegram, Facebook и GoogleNews!
Tweet