Microsoft memperingatkan bahwa kelompok cyber-spionage yang terhubung dengan Layanan Keamanan Federal Rusia (FSB) menargetkan misi diplomatik di Moskow menggunakan penyedia layanan internet lokal.
Kelompok peretasan yang dilacak oleh Microsoft sebagai Blizzard rahasia (juga dikenal sebagai Turla, Waterbug, dan Beruang Berbisa) telah diamati mengeksploitasi posisi musuh-dalam-menengah (AITM) di tingkat Internet Service Provider (ISP) untuk menginfeksi sistem misi diplomatik dengan malware apolloshadow khusus.
Untuk melakukan ini, mereka mengarahkan target ke portal tawanan, menipu mereka untuk mengunduh dan melaksanakan muatan malware yang disamarkan sebagai penginstal antivirus Kaspersky.
Setelah dikerahkan, Apolloshadow memasang sertifikat akar tepercaya yang disamarkan sebagai Kaspersky anti-virus, yang membantu menipu perangkat yang dikompromikan untuk mengenali situs web jahat sebagai sah, memungkinkan aktor ancaman mempertahankan akses jangka panjang untuk pengumpulan intelijen setelah sistem diplomatik yang mengganggu.
“Ini adalah pertama kalinya Microsoft dapat mengkonfirmasi kemampuan Secret Blizzard untuk melakukan spionase di tingkat ISP, yang berarti personel diplomatik menggunakan penyedia internet lokal dan telekomunikasi di Rusia berisiko tinggi menjadi target posisi AITM Blizzard rahasia dalam layanan tersebut,” kata Microsoft.
“Kampanye ini, yang telah berlangsung sejak setidaknya tahun 2024, menimbulkan risiko tinggi bagi kedutaan asing, entitas diplomatik, dan organisasi sensitif lainnya yang beroperasi di Moskow, terutama untuk entitas yang mengandalkan penyedia internet lokal.”
Sementara Microsoft pertama kali mendeteksi serangan pada bulan Februari 2025, perusahaan percaya kampanye cyber-spionage ini telah aktif sejak setidaknya 2024.
Peretas badai salju juga juga mengambil keuntungan dari sistem intersepsi domestik Rusiatermasuk Sistem untuk Kegiatan Investigasi Operatif (SORM), untuk melakukan kampanye AITM skala besar mereka.
Cyberspies yang tidak lazim yang berfokus pada target profil tinggi
Turla telah mengatur kampanye pencurian cyber dan pencurian informasi yang menargetkan kedutaan, pemerintah, dan fasilitas penelitian di lebih dari 100 negara sejak setidaknya tahun 1996.
Dua tahun lalu, CISA terhubung Kelompok yang berpusat pada 16 Layanan Keamanan Federal Rusia (FSB) dan jaringan komputer peer-to-peer (P2P) yang terinfeksi malware cyber ular yang kemudian diturunkan dalam aksi bersama yang melibatkan lima mata cybersecurity dan agensi intelijen.
Peretas yang didukung negara Rusia ini juga merupakan tersangka utama di balik serangan yang menargetkan Komando Pusat AS, NASA, Pentagonbanyak Kementerian Luar Negeri Eropa Timur, Kementerian Luar Negeri FinlandiaDan Pemerintah dan Kedutaan Uni Eropa.
Kelompok ancaman ini dikenal karena taktiknya yang tidak konvensional, termasuk kontrol malware melalui Komentar tentang Foto Instagram Britney Spears dan penggunaan Trojan backdoor dengan API mereka sendiri.
Turla juga memanfaatkan Infrastruktur dan malware yang dibajak dari oilrig apt Iran Dalam kampanye mereka sendiri untuk menyesatkan dan menipu para pembela untuk menghubungkan serangan mereka dengan peretas negara Iran.
Baru -baru ini, mereka juga terlihat membajak infrastruktur Aktor Ancaman Pakistan Storm-0156 untuk menargetkan perangkat militer Ukraina yang terhubung melalui Starlink.
