Microsoft повідомила про виявлення російських хакерів, які здійснюють атаки на іноземні посольства в москві, використовуючи спеціально розроблене шкідливе програмне забезпечення. Інфікування відбувається шляхом атак типу «adversary-in-the-middle» (AiTM), що реалізуються на рівні місцевих інтернет-провайдерів, підконтрольних державі.
Щоб дізнатись останні новини, слідкуйте за нашим каналом Google News онлайн або через застосунок.
За даними Microsoft, хакерська кампанія триває з минулого року і використовує можливості російських інтернет-провайдерів, які зобов’язані співпрацювати з урядовими структурами. Контроль над мережевою інфраструктурою дозволяє зловмисникам, яких Microsoft відстежує під кодовою назвою Secret Blizzard, позиціонувати себе між мережевими вузлами, що з’єднують цільові посольства з Інтернетом. Така тактика є класичним прикладом атаки AiTM. Завдяки цьому хакери перенаправляють запити на фальшиві сайти, замасковані під відомі й легітимні ресурси.
У своєму звіті аналітики Microsoft Threat Intelligence зазначили: «Раніше ми з низьким рівнем упевненості припускали, що цей суб’єкт займається шпигунською діяльністю проти іноземних і місцевих структур у межах росії. Тепер ми вперше маємо докази його можливостей діяти на рівні провайдерів (ISP). Це означає, що дипломатичні співробітники, які користуються місцевими інтернет-послугами або телекомунікаційними сервісами в росії, з високою ймовірністю стають цілями Secret Blizzard, що застосовує AiTM-техніки в рамках цих сервісів».
Secret Blizzard вважається однією з найактивніших і технологічно розвинених державних хакерських груп у світі. Її діяльність простежується з 1996 року, а Агентство з кібербезпеки та безпеки інфраструктури США (CISA) пов’язує її з Федеральною службою безпеки росії. Крім Secret Blizzard, ця група відома під назвами Turla, Venomous Bear, Uroburos, Snake, Blue Python, Wraith, ATG26 і Waterbug.
Мета кампанії полягає в тому, щоб змусити цільові системи інсталювати спеціальне шкідливе програмне забезпечення, відоме як ApolloShadow. Це ПЗ додає в систему кореневий TLS-сертифікат, що дозволяє Secret Blizzard видавати свої підроблені сайти за надійні ресурси, до яких звертається заражена машина всередині дипломатичної мережі.
Атака AiTM, зафіксована Microsoft у лютому, починалася з редиректу жертви на так званий captive-портал. Подібні портали використовуються легально в публічних мережах (наприклад, у готелях або аеропортах) для авторизації користувачів, збору платіжних даних або підтвердження умов користування. Після цього сторінка ініціювала роботу легальної служби Windows – Test Connectivity Status Indicator, яка перевіряє доступність Інтернету, надсилаючи HTTP GET-запит на адресу hxxp://www.msftconnecttest[.]com/redirect, що перенаправляє користувача на msn[.]com. Як зазначено в звіті Microsoft, саме на цьому етапі відбувається підміна: браузер скеровується на домен, контрольований хакерами, де відображається фальшиве попередження про помилку сертифіката, що спонукає користувача завантажити та запустити ApolloShadow.
Після активації шкідливе ПЗ перевіряє права доступу, використовуючи API GetTokenInformationType. Якщо рівень привілеїв недостатній, ApolloShadow викликає спливаюче вікно UAC (User Account Control), щоб отримати згоду на встановлення файлу CertificateDB.exe, замаскованого під інсталятор антивірусу Kaspersky. Це дозволяє інсталювати кореневі сертифікати та підвищити привілеї в системі. Якщо користувач підтверджує дію, зараження поглиблюється.
Водночас при відсутності необхідних прав ApolloShadow застосовує складну схему обходу захисту, зокрема імітує сторінку hxxp://timestamp.digicert[.]com/registered, звідки на пристрій завантажується другий компонент атаки у вигляді VBScript. Після його декодування шкідливе ПЗ перезапускається і знову намагається отримати права адміністратора через UAC.
У разі, якщо ApolloShadow вже має системні привілеї, воно змінює налаштування мережевих з’єднань, переводячи всі підключення в режим приватної мережі. За словами Microsoft, це робиться для послаблення правил брандмауера та спрощення доступу до функцій спільного використання файлів. Хоча ознак горизонтального руху в мережі не зафіксовано, ці модифікації можуть значно полегшити подальші кроки атакуючих у разі потреби. Ключовою загрозою є здатність зловмисників змусити систему довіряти підробленим сайтам, що дає змогу зберігати стійкість у мережі та, ймовірно, збирати розвіддані.
Читайте також:
- Microsoft стала другою компанією з ринковою капіталізацією $4 трлн
- AI в роботі: Microsoft розповіла, які професії під загрозою