Российская хакерская группировка Secret Blizzard, которая напрямую связана с Федеральной службой безопасности России, использовала государственную систему перехвата связи (СОРМ) для кибершпионажа против иностранных посольств в Москве.

Источник: отчет Microsoft Threat Intelligence от 31 июля 2025 года

Детали: По данным Microsoft, группировка Secret Blizzard (также известная как Turla) организовала масштабную кампанию кибершпионажа за иностранными посольствами, работающими в Москве. Хакеры получили доступ к российским интернет-провайдерам и использовали их инфраструктуру для перехвата интернет-трафика дипломатических учреждений.

Эксперты установили, что атака осуществлялась с помощью техники "злоумышленник посередине" Adversary-in-the-Middle (AiTM), которая позволяет вмешиваться в коммуникацию между жертвой и сервером, чтобы перехватывать данные.

Во время атак хакеры устанавливали на дипломатические устройства вредоносное программное обеспечение ApolloShadow, которое позволяло осуществлять так называемую "атаку на снижение HTTPS" (TLS/SSL stripping), то есть делать зашифрованный трафик жертв открытым, в частности логины, пароли, токены аутентификации и другую чувствительную информацию.

Кроме того, ApolloShadow устанавливало на устройства доверенный корневой сертификат "Лаборатории Касперского", который системы жертв распознавали как безопасный и позволяли хакерам создавать видимость безопасного соединения даже с фальшивыми или зараженными сайтами. Таким образом, группировка получила долговременный контроль над устройствами иностранных дипломатов.

Эксперты считают, что ключевую роль в такой широкомасштабной кибератаке сыграла Система оперативно-розыскных мероприятий (СОРМ) – российская государственная система, которая позволяет силовым структурам перехватывать интернет-трафик в реальном времени.

Справочно: Secret Blizzard идентифицирована Агентством по кибербезопасности и инфраструктуре США (CISA) как подразделение "Центра 16" ФСБ. Эта структура занимает одно из ведущих мест среди государственных хакерских групп мира и систематически используется Россией в кибервойнах и кампаниях влияния.

Предыстория:

• Secret Blizzard ранее уже атаковала иностранные министерства, в частности стран Восточной Европы, заставляя пользователей загружать зараженное ПО с подконтрольных серверов.
• В 2023 году Министерство юстиции США сообщало о обезвреживании масштабной бот-сети Turla, которая использовалась для глобального шпионажа в интересах Кремля.
• В декабре 2017 года президент США Дональд Трамп подписал закон, запрещающий использование программного обеспечения компании Kaspersky Lab в правительственных структурах США в связи с опасениями, что оно использовалось Россией для шпионажа.
• В марте 2022 года Федеральная комиссия по связи США (FCC) включила "Лабораторию Касперского" (Kaspersky Lab) в список компаний, угрожающих национальной безопасности США.