Microsoft розкриває кібератаку на рівні російських провайдерів

Головна — News — Microsoft розкриває кібератаку на рівні російських провайдерів

Microsoft Threat Intelligence виявила складну шпигунську операцію з кодовою назвою Secret Blizzard, яка використовує контроль над російськими інтернет-провайдерами для проведення атак адверсар у середньому (AiTM) на іноземні посольства в Москві. Основною метою є примусове встановлення шкідливого кореневого сертифіката TLS через спеціально створений бекдор ApolloShadow, що дозволяє здійснювати криптографічне підроблення та тривале збори розвідданих.

Огляд кампанії та хронологія

Кампанію вперше зафіксовано в середині 2024 року. Вона експлуатує законодавчі зобов’язання основних інтернет-провайдерів Росії щодо перехоплення дипломатичного трафіку. Загарбники, розташувавшись на мережевому рівні, можуть безперешкодно перенаправляти співробітників посольств на домени, контрольовані зловмисниками, які маскуються під довірені сайти, що полегшує приховану доставку шкідливого програмного забезпечення.

Атака «адверсар у середньому» на рівні інтернет-провайдерів

На відміну від традиційних мережевих атак, метод AiTM у кампанії Secret Blizzard працює:

На краю інтернет-провайдера — це дозволяє зловмисникам маніпулювати DNS-відповідями та HTTP-перенаправленнями до того, як вони досягнуть мереж посольств.

З прозорістю для кінцевих користувачів — користувачі бачать легітимні URL-адреси (наприклад, msn.com), хоча насправді їх перенаправляють через шкідливі проксі.

Використовуючи методи капітивного порталу для ініціювання процесу перевірки підключення Windows Test Connectivity Status Indicator, стандартного компонента ОС (http://www.msftconnecttest.com/redirect), щоб перехопити і замінити фінальне перенаправлення на сторінку, контрольовану зловмисниками.

Доставка шкідливого програмного забезпечення: ApolloShadow

Коли шкідливе перенаправлення викликає помилку сертифіката в браузері, жертви отримують запит на завантаження CertificateDB.exe, замаскованого під установник Kaspersky. Після виконання ApolloShadow виконує:

Перевірку привілеїв через API GetTokenInformationType, щоб визначити, чи може він безшумно ввести кореневий сертифікат CA.

Якщо привілеїв недостатньо, він викликає запит UAC на підвищення привілеїв, використовуючи VBScript другого етапу, переданий з підробленого timestamp.digicert.com/registered кінцевого пункту.

Встановлення шкідливого кореневого сертифіката TLS, що дозволяє перехоплювати сесії SSL/TLS та розшифровувати трафік.

Перенастроювання всіх мережевих профілів Windows на Приватний, ослаблюючи правила брандмауера (наприклад, порти для спільного доступу до файлів SMB) для полегшення потенційного бічного переміщення.

OpenAI прагне виключити приватні чати ChatGPT з пошуку Google

2025-08-01

Технічний аналіз

Для захисників важливо розуміти кожен ланцюг у цій схемі:

Зловживання капітивним порталом: Зловмисники експлуатують легітимні робочі процеси RADIUS та CoA (зміна авторизації) у капітивних порталах провайдерів для впровадження шкідливого HTML/JS, що активує перевірку підключення ОС.

Кореневий набір TLS: Кореневий сертифікат ApolloShadow підписується з використанням параметрів, що імітують ієрархію підпису DigiCert, що ускладнює виявлення за допомогою автоматизованих інструментів перевірки сертифікатів.

Механізми стійкості: Окрім кореневої довіри, ApolloShadow планує задачу Windows (через schtasks.exe), яка повторно викликає шкідливий код під час завантаження, забезпечуючи тривалий доступ.

Глобальні та геополітичні наслідки

Ця операція має більш широкі наслідки для дипломатичної безпеки та міжнародного права:

“Ця кампанія є значним етапом в еволюції державного кібер-шпигунства, поєднуючи законодавчі вимоги провайдерів з класичними тактиками MiTM,” зазначила доктор Олена Петрова, старший аналітик Cyber Threat Alliance.

З огляду на важливі саміти та вибори, скомпрометовані дипломатичні канали ризикують розкрити чутливі політичні обговорення та стратегії переговорів. Агентство з кібербезпеки та безпеки інфраструктури США (CISA) випустило рекомендації, що закликають до посилення пінінгу сертифікатів та архітектур Zero Trust для мереж з високою вартістю.

Скандал з Backpage призвів до суттєвих виплат жертвам торгівлі людьми

2025-08-01

Заходи захисту та найкращі практики

Організації, які працюють у Москві або спілкуються з місцевими структурами, повинні розглянути такі заходи захисту:

Зашифроване тунелювання: Перенаправляти весь трафік посольств через VPN за межами країни або програмно визначену периметру (SDP), що забезпечує взаємний TLS та пінінг сертифікатів.

Доступ до мережі Zero Trust (ZTNA): Замінити застарілі VPN на контролі доступу на основі ідентифікації та атрибутів, щоб мінімізувати імпліцитну довіру до мережевих пристроїв.

Сегментація мережі: Ізолювати дипломатичні робочі станції на окремому VLAN з виділеними правилами брандмауера, блокуючи небажаний трафік SMB та RPC.

Моніторинг сертифікатів: Використовувати автоматизовані інструменти для виявлення введення невідомих кореневих CA у сховищі сертифікатів Windows та Linux.

Висновок

Кампанія Secret Blizzard на рівні інтернет-провайдерів підкреслює необхідність багаторівневого підходу до безпеки, що поєднує технічні контролі, дотримання політик та постійний моніторинг. Посилюючи мережеві периметри та ретельно перевіряючи ланцюги довіри сертифікатів, дипломатичні місії можуть зменшити ризик шпигунства в країні та захистити критично важливі комунікації.