This post is also available in:
English (אנגלית)
משלחות דיפלומטיות זרות וארגונים רגישים הפועלים במוסקבה מהווים יעד להתקפות ריגול סייבר מתקדמות מצד תוקפים מעצמתיים, המשתמשים בטכניקות מתקדמות של יירוט תעבורת רשת ברמת ספקית האינטרנט (ISP). על פי דו"ח חדש של צוות המודיעין של מיקרוסופט, הקבוצה האחראית למתקפות, הידועה בשם Secret Blizzard, מקושרת ישירות לשירות הביטחון הפדרלי של רוסיה (FSB), ובפרט למרכז 16.
ההאקרים מנהלים מתקפות מסוג "אויב באמצע" (Adversary-in-the-Middle – AiTM) תוך שימוש בגישה ברמת ספקית האינטרנט. גישה זו מאפשרת להם ליירט ולשנות תעבורת אינטרנט מבלי לעורר חשד מצד הקורבן. הקורבנות, בעיקר שגרירויות זרות ומוסדות דומים, מנותבים שלא בידיעתם לתשתיות הנשלטות על ידי התוקפים.
ליבת הקמפיין מבוססת על הפצת נוזקת בשם ApolloShadow, אשר משמשת להתקנת root certifications מזויפות במכשירים הנגועים. אלו משכנעות את המכשירים "לסמוך" על אתרים מזויפים, וכך מאפשרות לתוקפים לשבור הצפנות מאובטחות מסוג TLS/SSL. מרגע שתעודות אלו מותקנות, כל מידע, כולל סיסמאות ואסימוני אימות, חשוף כטקסט רגיל לתוקפים.
שיטת ההדבקה מתבצעת כאשר המשתמש מנסה להתחבר לאינטרנט ומופנה לדף התחברות מזויף שנראה כאילו שייך לרשת הלגיטימית. במקום להגיע לעמוד בדיקת רשת אמיתי, המשתמש רואה גרסה מזויפת שמופעלת על ידי התוקפים. עמוד זה לרוב יציג אזהרת תעודה ויבקש מהמשתמש להתקין מה שנראה כתוכנת אנטי-וירוס של קספרסקי, אך בפועל מדובר בנוזקה.
לאחר ההתקנה, ApolloShadow מתחיל לגנוב ולהזליג מידע ומנסה להשיג הרשאות מערכת מלאות על מנת להשתלט לחלוטין על המכשיר.
לפי ההערכות, קמפיין הריגול הזה פעיל לפחות מאז 2024 ומהווה איום משמעותי על כל ארגון התלוי בתשתית אינטרנט מקומית ברוסיה.
מיקרוסופט ממליצה למשתמשים הפועלים בסביבות בעלות סיכון גבוה לנתב את התעבורה דרך ערוצים מוצפנים כמו VPN או מערכות תקשורת מבוססות לוויין – כאלה שאינן בשליטת גורמים הקשורים לקרמלין. שיטות דומות כבר שימשו בעבר נגד משרדי חוץ במדינות מזרח אירופה.
האזהרה מדגישה את הצורך ההולך וגובר בתשתיות תקשורת מאובטחות ועצמאיות בעת פעילות בסביבות עוינות.