Група хакерів Secret Blizzard, що має зв’язок з ФСБ Росії, застосувала державну систему перехоплення зв’язку (СОРМ) для здійснення кібершпигунства проти іноземних посольств у Москві.

Ця інформація представлена у звіті Microsoft Threat Intelligence від 31 липня 2025 року.

За даними Microsoft, Secret Blizzard (також відомий як Turla) розпочала масштабну кампанію кібершпигунства, націлену на дипломатичні установи в Москві. Хакери використовували російські інтернет-провайдери для перехоплення трафіку посольств.

Експерти виявили, що атака реалізовувалася з використанням техніки "злочинець посередині" (Adversary-in-the-Middle), яка дозволяє втручатися у зв’язок між жертвою і сервером для перехоплення даних.

У процесі атак хакери інсталювали на пристрої дипломатів шкідливе ПЗ ApolloShadow, що дозволяло здійснювати так звану "атаку на зниження HTTPS" (TLS/SSL stripping), перетворюючи зашифрований трафік на відкритий, включаючи логіни, паролі, токени автентифікації та іншу конфіденційну інформацію.

Крім того, ApolloShadow встановлювало на пристрої кореневий сертифікат "Лабораторії Касперського", який жертви сприймали як безпечний, дозволяючи хакерам створювати ілюзію надійного з’єднання навіть з фальшивими сайтами. Це надало угрупованню тривалий контроль над пристроями дипломатів.

Експерти вважають, що Система оперативно-розшукових заходів (СОРМ) відіграла ключову роль у цій масованій кібератаці, оскільки це російська державна система для перехоплення інтернет-трафіку в реальному часі.

Secret Blizzard ідентифіковано Агентством з кібербезпеки та інфраструктури США (CISA) як частину "Центру 16" ФСБ, що є однією з провідних державних хакерських груп у світі та регулярно використовується Росією в кібервійнах.