Аналитики подразделения по разведке угроз Microsoft обнародовали данные о активизации российского кибершпионского группировки Turla, также известного как Secret Blizzard. По их информации, эта группа организовала масштабную кампанию слежки за иностранными посольствами, расположенными в Москве, осуществляя атаки через местных интернет-провайдеров.
Об этом сообщает Резонанс
Методы атак Turla и их особенности
По сообщениям Microsoft, группа Turla использует сложные методы для осуществления кибершпионства. В частности, хакеры маскируют вредоносное программное обеспечение под антивирусные продукты российской компании Kaspersky, что позволяет им обманывать системы защиты и пользователей. После получения контроля над инфраструктурой интернет-провайдеров РФ, Turla перенаправляет интернет-трафик жертв, включая сотрудников диппредставительств, и внедряет вредоносные программы для сбора разведывательных данных.
Доверенные бренды часто используются как приманки без их ведома или согласия… Мы всегда рекомендуем загружать программы только из официальных источников и проверять подлинность любого сообщения, которое якобы поступает от доверенных компаний
Ключевым инструментом Turla является вредоносное программное обеспечение ApolloShadow. Оно способно снимать шифрование с данных, что позволяет хакерам получать доступ к просмотру интернет-активности и конфиденциальных учетных данных жертв.
Долгосрочная деятельность группировки и роль спецслужб РФ
Хакерская группа Turla действует уже более 25 лет. По оценкам экспертов, она принадлежит к числу самых развитых и устойчивых в мире и связана с Федеральной службой безопасности России. Американское Министерство юстиции в 2023 году отчиталось о нейтрализации крупной сети компьютеров, которую Turla использовала для атак в разных странах по заказу правительства в Москве.
Microsoft также указывает, что российские внутренние системы перехвата, в частности Система оперативно-розыскной деятельности (SORM), имеют решающее значение для проведения таких кибератак. Эта система позволяет ФСБ и другим государственным органам осуществлять легальное слежение, что создает дополнительные возможности для масштабных операций кибершпионства.
С начала 2025 года CERT-UA ежедневно фиксирует примерно 15 кибератак, большинство из которых происходит из РФ. Среди них выделяют деструктивные атаки, шпионство и инциденты с финансовыми мотивами.