Российская хакерская группировка Turla, также известная под названиями Secret Blizzard, Snake и Venomous Bear, провела масштабную операцию кибершпионажа, нацеленную на иностранные посольства в Москве, говорится в отчёте Microsoft Threat Intelligence.
Хакеры маскировали вредоносное программное обеспечение под антивирусные программы "Лаборатории Касперского", чтобы избежать обнаружения. Компания Microsoft выявила эту атаку в феврале 2024 года и отметила высокий риск для дипломатических представительств и учреждений, особенно если они пользуются услугами российских интернет-провайдеров.
По данным отчёта, на устройства, подключённые к российским провайдерам, устанавливалось вредоносное ПО под названием ApolloShadow, замаскированное под антивирус Kaspersky. Это программное обеспечение отключало шифрование на устройствах жертв, давая злоумышленникам доступ ко всей интернет-активности, включая просмотренные веб-страницы и конфиденциальные учетные данные. Такой метод позволяет злоумышленникам получать огромный объём нешифрованного трафика, который можно использовать для шпионских целей, отмечают эксперты Microsoft.
Представители "Лаборатории Касперского" заявили, что известные бренды часто применяются злоумышленниками в качестве приманки без ведома компании. Они рекомендуют скачивать приложения исключительно из официальных источников и тщательно проверять подлинность сообщений от известных фирм. При этом, как подчёркивает издание Wired, целью хакеров вряд ли были дипломаты из США, так как американским государственным учреждениям запрещено использовать продукцию "Лаборатории Касперского".
Группировка Turla действует уже более 25 лет. В 2023 году Министерство юстиции США сообщило о ликвидации крупной компьютерной сети, которую Turla применяла для глобальных атак на различные цели.
